Veri Gizliliği Hakkında SSS

Müşteri güvenini korumak, sonu gelmeyen bir taahhüttür. AWS, değişiklikleri tespit etmek ve müşterilerimizin mevzuat uyumluluğu gereksinimlerini karşılamak için hangi araçlara ihtiyacı olabileceğini belirlemek amacıyla, durmaksızın değişen gizlilik mevzuatlarını ve yasal bağlamı sürekli izler. Yürürlüğe koyduğumuz gizlilik ve veri güvenliği politikaları, uygulamaları ve teknolojilerle ilgili sizi bilgilendirmek için var gücümüzle çalışırız.

Bu taahhütler arasında şunlar yer alır:

• Erişim: Bir müşteri olarak, AWS hesabınız altında AWS hizmetlerine yüklediğiniz içeriğinizin tam denetimine ve AWS hizmetlerine ve kaynaklarına erişimi yapılandırma sorumluluğuna sahipsiniz. Bunu etkili şekilde yapmanızı sağlayacak gelişmiş erişim, şifreleme ve günlük kaydı özellikleri sağlarız (ör. AWS Kimlik ve Erişim Yönetimi, AWS Kuruluşlar ve AWS CloudTrail). Ayrıca bir AWS ortamında geliştirdiğiniz veya dağıttığınız tüm hizmetlerin erişim denetimi izinlerini ayarlamanız için çeşitli API'ler de sağlarız. Ne amaçla olursa olsun, onayınız olmadan içeriğinize erişmez veya içeriğinizi kullanmayız. İçeriğinizi pazarlama veya reklam için kullanmaz veya içeriğinizden bilgi türetmeyiz.
• Depolama: İçeriğinizin depolanacağı AWS Bölgelerini siz seçersiniz. İçeriğinizi birden fazla AWS Bölgesine çoğaltıp buralarda yedekleyebilirsiniz. Onayınız olmadan, seçtiğiniz AWS Bölgelerinizin dışında içeriğinizi taşımaz veya çoğaltmayız.
  
• Güvenlik: İçeriğinizin güvenliğinin nasıl sağlanacağını siz seçersiniz. İçeriğinizi aktarım sırasında ve beklemedeyken korumak için sektör lideri şifreleme özellikleri ve size kendi şifreleme anahtarlarınızı yönetme seçeneği sunuyoruz. Bu veri koruma özellikleri arasında şunlar da bulunur:
  • 100'den fazla AWS hizmetinde kullanılabilir olan veri şifreleme özellikleri.
  • Müşterilerin, şifreleme anahtarlarının AWS tarafından yönetilmesi veya anahtarlar üzerinde tam denetime sahip olma arasında seçim yapmasına imkân tanıyan AWS Key Management Service'i (KMS) kullanan esnek anahtar yönetimi seçenekleri.
  • AWS içinde güvenli şekilde faaliyet göstermenize ve güvenlik denetimi ortamımızdan en iyi şekilde yararlanmanıza yardımcı olacak güvenlik ve veri koruması için en iyi uygulamaları kullanan bir güvenlik güvencesi programı. Bu güvenlik korumaları ve denetim süreçleri birden çok üçüncü taraf bağımsız değerlendirmesi ile bağımsız olarak doğrulanır.
• Müşteri içeriklerinin ifşa edilmesi: Yasalara uyma zorunluluğu ya da devlet organının geçerli ve bağlayıcı emri zorunluluğu olmadığı sürece müşteri içeriğini ifşa etmeyeceğiz (Aşağıda yer alan AWS, müşteri bilgilerini nasıl sınıflandırır? bölümüne bakın). Bir devlet organı, müşteri içeriğiniz için AWS'ye talep gönderirse devlet organını bu veriyi doğrudan sizden istemeye yönlendirme girişiminde bulunacağız. Müşteri içeriğinizi devlet organına ifşa etmek zorunda kalması durumunda AWS, yasalarca yasak olmadığı müddetçe koruyucu karar veya diğer uygun çözümler aramanızı sağlamak üzere size makul bir talep bildirimi verecektir.

Müşteri içeriğini, bir müşteri veya son kullanıcısının, müşterinin hesabıyla bağlantılı olarak AWS hizmetleri tarafından işlenmek, depolanmak veya barındırılmak üzere bize aktardığı yazılımlar (makine görüntüleri dâhil), veriler, metin, ses, video veya görüntüler ve bir müşteri ya da son kullanıcısının AWS hizmetlerini kullanması sonucunda türettiği tüm hesaplama sonuçları olarak tanımlarız. Örneğin müşteri içeriği, bir müşterinin veya son kullanıcısının Amazon Basit Depolama Hizmeti'nde (S3) depoladığı içeriği kapsar. Müşteri içeriği, aşağıda açıkladığımız hesap bilgilerini içermez. Müşteri içeriği; kaynak tanımlayıcıları, meta veri etiketleri, erişim denetimleri, kurallar, kullanım politikaları, izinler ve AWS kaynaklarının yönetimiyle alakalı diğer benzer öğelerde yer alan bilgileri de içermez. AWS, bu öğelere kimliği tanımlayabilecek, gizli veya hassas bilgiler eklememenizi önerir. Müşteri içeriğiniz için AWS Müşteri Sözleşmesi koşulları ve AWS Hizmet Koşulları geçerlidir.

Hesap bilgilerini, bir müşterinin müşteri hesabı oluşturulması ve yönetimiyle bağlantılı olarak bize sağladığı bilgiler olarak tanımlarız. Örneğin, hesap bilgileri arasında bir müşteri hesabıyla ilişkili adlar, kullanıcı adları, telefon numaraları, e-posta adresleri ve faturalama bilgileri yer alır. AWS Gizlilik Bildirimi'nde açıklanan bilgi uygulamaları hesap bilgileri için geçerlidir.

Müşteri olarak, müşteri içeriğinizin sahibi siz olursunuz ve müşteri içeriğinizi hangi AWS hizmetlerinin işleyebileceğini, depolayabileceğini ve barındırabileceğini siz seçersiniz. Ne amaçla olursa olsun, onayınız olmadan müşteri içeriğinize erişmez veya içeriğinizi kullanmayız. Müşteri içeriğini pazarlama veya reklam için kullanmaz veya içerikten bilgi türetmeyiz.

Müşteri olarak içeriğinizi siz denetlersiniz:

• Müşteri içeriğinizin depolanacağı coğrafi bölgeyi ve depolama türünü siz belirlersiniz.
  
• Müşteri içeriğinizin güvenlik altına alınma durumunu siz seçersiniz. İçeriğinizi aktarım sırasında ve beklemedeyken korumak için sektör lideri şifreleme özellikleri ve size kendi şifreleme anahtarlarınızı yönetme seçeneği sunuyoruz.
• Denetlediğiniz kullanıcılar, gruplar, izinler ve kimlik bilgileri aracılığıyla müşteri içeriğinize ve AWS hizmetleri ile kaynaklarına erişimi siz yönetirsiniz.

AWS Gizlilik Bildirimi, hesap bilgilerini nasıl topladığımızı ve kullandığımızı açıklar.

AWS, bu bilgileri AWS hizmetlerini sağlamak ve müşteri deneyimini koruyup iyileştirmek için kullanır. Örneğin AWS, müşterilerin AWS harcamalarını maliyet merkezine göre ayırmak için kullanabileceği maliyet ve kullanım raporları oluşturmasına yardımcı olmak için kaynak tanımlayıcıları ve belirli bir kullanıcının rezerve edilmiş bulut sunucularını satın alıp alamayacağını belirlemek için IAM izinlerini kullanır. Müşteriler teknik yardım için AWS ile iletişime geçtiğinde AWS, müşterilerin sorunlarını çözmeye yardımcı olmak için kaynak tanımlayıcıları ve izinleri de analiz edebilir.

Müşterilerimizin gizliliğiyle ilgili tedbirli davranırız. Yasaya veya bir devlet organının geçerli ve bağlayıcı emrine uymak zorunda kalmadığımız sürece müşteri içeriğini ifşa etmeyeceğiz. Bir devlet organı, müşteri içeriği için AWS'ye talep gönderirse devlet organını bu veriyi doğrudan müşteriden istemeye yönlendirme girişiminde bulunacağız. Resmi ve düzenleyici organların, geçerli ve bağlayıcı hak taleplerini almak için geçerli yasal süreci izlemesi gerekir. Tüm hak taleplerini gözden geçirir ve yüzeysel olan veya uygunsuz olan talepleri reddederiz. Müşteri içeriğini devlet organına ifşa etmek zorunda kalması durumunda AWS, yasalarca yasak olmadığı müddetçe müşterilerin koruyucu karar veya diğer uygun çözümler aramalarını sağlamak üzere müşterilere makul bir talep bildirimi verecektir. Müşterilerimizin müşteri içeriğini şifreleyebildiğini ve müşterilerimize kendi şifreleme anahtarlarını yönetme seçeneği sağladığımızı vurgulamak da önemlidir.

Müşterilerimiz için şeffaflığın önemli olduğunu biliyoruz; bu nedenle Amazon Bilgi Talepleri web sayfasında aldığımız bilgi taleplerinin türleri ve hacmi ile ilgili düzenli olarak bir rapor yayınlıyoruz.

AWS Küresel Altyapısı, aynı ağı, denetim düzlemini, API'leri ve AWS hizmetlerini kullanarak iş yüklerinizi nerede ve nasıl çalıştırmak istediğinizi seçme olanağı sunar. Uygulamalarınızı küresel olarak çalıştırmak isterseniz AWS Bölgeleri ve Erişilebilirlik Alanları arasından seçim yapabilirsiniz. Müşteri olarak, müşteri içeriğinizin depolandığı AWS Bölgelerini seçersiniz, böylece coğrafi gereksinimleriniz doğrultusunda seçtiğiniz konumlarda AWS hizmetlerini dağıtmanıza olanak sağlanır. Örneğin, Avustralya'daki bir AWS müşterisi verilerini yalnızca Avustralya'da depolamak isterse AWS hizmetlerini yalnızca Asya Pasifik (Sidney) AWS Bölgesinde dağıtmayı seçebilir. Diğer esnek depolama seçeneklerini keşfetmek istiyorsanız AWS Bölgeleri web sayfasına bakın.

Ayrıca müşteri içeriğinizi birden fazla AWS Bölgesinde çoğaltabilir ve yedekleyebilirsiniz. Başlattığınız hizmetleri sağlamak için gerekli olanlar dışında ya da yasalara veya bir devlet kurumunun bağlayıcı emrine uymak için gerekli olmadıkça, içeriğinizi seçtiğiniz AWS Bölgelerinin dışına taşımayacağız veya çoğaltmayacağız. Ancak bazı AWS hizmetlerinin tüm AWS Bölgelerinde erişilebilir olmayabileceğini lütfen unutmayın. Hangi AWS Bölgelerinde hangi hizmetlerin kullanılabilir olduğu hakkında daha fazla bilgi için AWS Bölgesel Hizmetler web sayfasına bakın.

Bir bulut çözümünün güvenliğini değerlendirirken, bulutun güvenliği ile sizin buluttaki güvenliğinizi anlamanız ve ayırt etmeniz önemlidir. Bulutun güvenliği, AWS'nin uyguladığı ve işlettiği güvenlik önlemlerini kapsar. Bulutun güvenliği bizim sorumluluğumuzdadır. Buluttaki güvenlik, kullandığınız AWS hizmetleriyle ilgili olarak sizin uyguladığınız ve işlettiğiniz güvenlik önlemlerini kapsar. Buluttaki güvenlik sizin sorumluluğunuzdadır. Daha fazla bilgi için AWS Paylaşılan Sorumluluk web sayfasına bakın.

AWS için en büyük öncelik müşterilerimizin verilerinin güvenliğini sağlamaktır. Müşterinin hangi AWS Bölgesi'ni seçtiği dikkate alınmaksızın verilerin gizliliğini, güvenilirliğini ve erişilebilirliğini korumak için kapsamlı teknik ve organizasyonel önlemler uyguluyoruz.

AWS, buluttaki kişisel verilerin korunmasına odaklanan uygulama ilkeleri olan ISO 27018 ile uyumludur. ISO bilgi güvenliği standardı 27001'i kamu bulut bilgi işlem ortamı için Kimliği Tanımlayabilecek Bilgilerin (PII) korunmasına yönelik düzenleyici gereksinimleri kapsayacak şekilde genişletir. Ayrıca, kamu bulut hizmeti sağlayıcıları tarafından işlenen PII'lere uygulanabilir ISO 27002 denetimlerine dayalı uygulama kılavuzunu belirler. Daha fazla bilgi edinmek veya AWS ISO 27018 Sertifikası'nı görüntülemek için AWS ISO 27018 Uyumluluğu web sayfasını görüntüleyin.

Bunlara ek olarak AWS, American Institute of CPAs (AICPA) tarafından geliştirilen SOC 2 Gizlilik Güven Kriterleri'ne dayalı bir SOC 2 Tip I Gizlilik raporu yayımlar. Bu rapor, kurumun hedeflerine ulaşılması amacıyla kişisel bilgilerin nasıl toplanacağı, kullanılacağı, saklanacağı, ifşa edileceği ve elden çıkarılacağı ile ilgili denetimlerin değerlendirilmesinde kullanılacak ölçütleri belirler. AWS SOC 2 Tip II Gizlilik raporu, sistemlerimizin üçüncü taraf onayını ve gizlilik denetimlerimizin tasarımının uygunluğunu sunar. Gizlilik raporunda AWS'ye yüklediğiniz içeriği nasıl ele aldığımız ve bu içeriğin en yeni AWS SOC raporları kapsamında bulunan tüm hizmetler ve konumlarda nasıl korunduğu hakkında bilgiler de bulunur. SOC 2 Tip II Gizlilik raporu, AWS Yönetim Konsolu'nda bulunan AWS Artifact aracılığıyla indirilebilir.

AWS ve veri koruma ile ilgili soruları olan müşterilerin AWS hesap yöneticileriyle iletişime geçmelerini öneririz. Müşteriler Kurumsal Destek aboneliğine sahipse Teknik Müşteri Yöneticilerine (TAM) de ulaşabilir. AWS hesap yöneticileri ve TAM'ler, müşterilerin uyumluluk ihtiyaçlarını karşılamalarına yardımcı olmak için Çözüm Mimarları ile birlikte çalışır. AWS, müşterilere yasal tavsiye vermez ve müşterilerin veri korumasıyla ilgili yasal soruları varsa hukuk danışmanlarına danışmalarını öneririz.

Ayrıca, gizlilik sorularına yardımcı olacak Kurumsal Destek Temsilcileri, Profesyonel Hizmetler Danışmanları ve diğer personelden oluşan ekiplerimiz de bulunmaktadır. Herhangi bir sorunuz olması durumunda buradan bizimle iletişime geçebilirsiniz.