Trung tâm Quy định chung về bảo vệ dữ liệu (GDPR)
Tuân thủ GDPR khi sử dụng các dịch vụ AWS
Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu bảo vệ quyền cơ bản của người dân tại Liên minh châu Âu (EU) về quyền riêng tư và bảo vệ dữ liệu cá nhân. GDPR bao gồm các yêu cầu nghiêm ngặt nhằm nâng cao và thống nhất các tiêu chuẩn về bảo vệ, bảo mật và tuân thủ dữ liệu. Để biết thêm thông tin, vui lòng xem Những câu hỏi thường gặp về GDPR bên dưới.
Khách hàng của AWS có thể sử dụng tất cả các dịch vụ AWS để xử lý những dữ liệu cá nhân (như được định nghĩa trong GDPR) được tải lên các dịch vụ AWS trong tài khoản AWS của mình (dữ liệu khách hàng) theo GDPR. Bên cạnh việc tuân thủ, AWS còn cam kết cung cấp các dịch vụ và tài nguyên cho khách hàng để giúp họ tuân thủ những yêu cầu trong GDPR có thể áp dụng đối với các hoạt động của họ. AWS thường xuyên cho ra mắt các tính năng mới, đồng thời có trên 500 tính năng và dịch vụ tập trung vào bảo mật và tuân thủ. Để biết thêm thông tin về các tính năng của AWS, hãy đọc blog của chúng tôi Cách AWS giúp khách hàng ở Châu Âu định hướng chuẩn mực mới về bảo vệ dữ liệu.
Khách hàng kiểm soát
Khách hàng có quyền kiểm soát dữ liệu khách hàng của họ. Với AWS, khách hàng có thể:
- Xác định vị trí sẽ lưu trữ dữ liệu khách hàng của họ, bao gồm loại hình lưu trữ và khu vực địa lý nơi thực hiện việc lưu trữ.
- Chọn trạng thái bảo mật cho dữ liệu khách hàng của họ. Chúng tôi đem đến cho khách hàng khả năng mã hóa mạnh mẽ đối với dữ liệu khách hàng đang được truyền hoặc lưu trữ, cũng như tùy chọn để khách hàng có thể quản lý khóa mã hóa riêng của mình.
- Quản lý quyền truy cập vào dữ liệu khách hàng cũng như các dịch vụ và tài nguyên AWS của họ thông qua người dùng, nhóm, quyền và thông tin xác thực mà khách hàng kiểm soát.
Chuyển dữ liệu ra bên ngoài Khu vực kinh tế châu Âu (EEA)
Khách hàng của AWS có thể tiếp tục sử dụng các dịch vụ AWS để chuyển dữ liệu khách hàng từ EEA đến các quốc gia không thuộc EEA và chưa được Ủy ban châu Âu đưa ra quyết định xác nhận biện pháp bảo vệ đầy đủ (bao gồm cả Hoa Kỳ) theo GDPR. Tại AWS, ưu tiên lớn nhất của chúng tôi là bảo mật dữ liệu khách hàng và chúng tôi triển khai các biện pháp nghiêm ngặt về mặt kỹ thuật cũng như tổ chức để bảo đảm tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu đó, bất kể khách hàng đã chọn Khu vực AWS nào. Chúng tôi hiểu rằng khách hàng rất xem trọng sự minh bạch. Chúng tôi liệt kê các dịch vụ AWS liên quan đến việc chuyển dữ liệu khách hàng trên trang web Tính năng bảo mật của chúng tôi.
Trong bối cảnh luật pháp và hoạt động quản lý ngày càng đổi mới, chúng tôi sẽ luôn nỗ lực để đảm bảo khách hàng có thể tiếp tục tận hưởng những lợi ích từ các dịch vụ AWS dù họ hoạt động ở bất cứ nơi đâu. Để biết thêm thông tin, vui lòng xem thông tin cập nhật dành cho khách hàng về Chương trình bảo vệ quyền riêng tư giữa Liên minh châu Âu và Hoa Kỳ và bài đăng trên blog về Phụ lục bổ sung cho Phụ lục xử lý dữ liệu trên AWS của chúng tôi và Bộ Quy tắc bảo vệ dữ liệu của CISPE.
Tài nguyên GDPR
Các câu hỏi thường gặp về GDPR
Tổng quan và thông tin cơ bản về GDPR
-
GDPR là gì?
Quy định bảo vệ dữ liệu chung (GDPR) là luật về quyền riêng tư của châu Âu, có hiệu lực thi hành vào ngày 25 tháng 5 năm 2018. GDPR thay thế Chỉ thị bảo vệ dữ liệu của châu Âu, hay còn gọi là Chỉ thị 95/46/EC và được thiết kế nhằm làm hài hòa các luật bảo vệ dữ liệu trên toàn Liên minh châu Âu (EU) bằng cách áp dụng một luật bảo vệ dữ liệu duy nhất ràng buộc từng nước thành viên.
-
GDPR áp dụng với những đối tượng nào?
GDPR áp dụng cho tất cả các tổ chức thành lập tại EU và các tổ chức, dù có thành lập tại EU hay không, xử lý dữ liệu cá nhân của người dân EU liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho chủ thể dữ liệu tại EU hay việc giám sát hành vi diễn ra bên trong EU. Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một thể nhân đã xác định hoặc có thể xác định được danh tính, bao gồm tên, địa chỉ email và số điện thoại.
-
Theo GDPR, AWS là bên xử lý dữ liệu hay bên kiểm soát dữ liệu?
Theo GDPR, AWS đóng cả hai vai trò là bên xử lý dữ liệu và bên kiểm soát dữ liệu.
- AWS với tư cách là bên xử lý dữ liệu – Khi khách hàng sử dụng các dịch vụ AWS để xử lý dữ liệu cá nhân trong nội dung mà họ tải lên dịch vụ AWS, AWS đóng vai trò là bên xử lý dữ liệu. Khách hàng có thể sử dụng những biện pháp kiểm soát sẵn có trong dịch vụ AWS, bao gồm các biện pháp kiểm soát cấu hình bảo mật, để xử lý dữ liệu cá nhân. Trong những trường hợp này, chính khách hàng có thể đóng vai trò là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu, trong khi AWS đóng vai trò là bên xử lý dữ liệu hoặc bên xử lý phụ. AWS cung cấp một Phụ lục xử lý dữ liệu trên AWS (AWS DPA) tuân thủ GDPR, trong đó có các cam kết của AWS với tư cách là bên xử lý dữ liệu. AWS DPA, bao gồm Điều khoản hợp đồng tiêu chuẩn, là một phần của Điều khoản dịch vụ AWS và được cung cấp tự động cho tất cả các khách hàng cần phụ lục này để tuân thủ GDPR.
- AWS với tư cách là bên kiểm soát dữ liệu – Khi AWS thu thập dữ liệu cá nhân và xác định mục tiêu cũng như phương thức xử lý dữ liệu cá nhân đó – ví dụ: khi AWS lưu trữ thông tin tài khoản (chẳng hạn như địa chỉ email được cung cấp trong quá trình đăng ký tài khoản) cho việc đăng ký tài khoản, quản lý, truy cập dịch vụ hoặc thông tin liên hệ cho tài khoản AWS để trợ giúp thông qua các hoạt động hỗ trợ khách hàng – AWS đóng vai trò là bên kiểm soát dữ liệu. Để biết chi tiết về cách AWS xử lý dữ liệu cá nhân với tư cách là bên kiểm soát, vui lòng xem Thông báo về quyền riêng tư của AWS.
-
Điều khoản hợp đồng tiêu chuẩn (SCC) là gì?
SCC là cơ chế truyền dữ liệu được phê duyệt trước theo GDPR, áp dụng tại tất cả các Nhà nước thành viên EU. Cơ chế này cho phép truyền dữ liệu cá nhân một cách hợp pháp đến các quốc gia bên ngoài Khu vực kinh tế châu Âu, những quốc gia này chưa nhận được quyết định về sự thỏa đáng từ Ủy ban châu Âu (quốc gia thứ ba).
-
AWS đưa SCC vào GDPR DPA của AWS đã thỏa thuận với khách hàng bằng cách nào?
Điều khoản dịch vụ AWS bao gồm các SCC mà Ủy ban châu Âu (EC) đã thông qua vào tháng 6 năm 2021 và AWS DPA xác nhận rằng SCC sẽ tự động được áp dụng bất cứ khi nào khách hàng AWS sử dụng các dịch vụ AWS để truyền dữ liệu khách hàng đến các quốc gia bên ngoài Khu vực kinh tế châu Âu, những quốc gia này chưa nhận được quyết định xác nhận có mức độ bảo vệ dữ liệu thỏa đáng từ EC (quốc gia thứ ba). Nằm trong Điều khoản dịch vụ AWS, các SCC mới sẽ tự động áp dụng bất cứ khi nào khách hàng sử dịch các dịch vụ AWS để truyền dữ liệu khách hàng đến quốc gia thứ ba. Một số ít khách hàng đã ký AWS DPA có thể tiếp tục dựa vào AWS DPA đó vì các SCC mới trong Điều khoản dịch vụ AWS thay thế các phiên bản trước của SCC. Nhờ đó, khách hàng có thể yên tâm rằng mọi dữ liệu khách hàng mà họ truyền đến các quốc gia thứ ba bằng cách sử dụng các dịch vụ AWS đều sẽ được bảo vệ ở cấp độ tương đương với dữ liệu khách hàng ở EEA. Để biết thêm thông tin, vui lòng xem bài đăng trên blog về quá trình triển khai các Điều khoản hợp đồng tiêu chuẩn mới.
AWS và việc tuân thủ GDPR sau phán quyết Schrems II và Khuyến nghị EDPB
-
Phán quyết Schrems II và Khuyến nghị EDPB là gì?
Ngày 16 tháng 7 năm 2020, Tòa án Công lý Liên minh châu Âu (CJEU) đã đưa ra phán quyết liên quan đến việc chuyển dữ liệu cá nhân của các chủ thể dữ liệu tại EU ra bên ngoài EEA (Schrems II). Trong Schrems II, CJEU đã ra phán quyết rằng Chương trình bảo vệ quyền riêng tư giữa Liên minh châu Âu và Hoa Kỳ không còn là cơ chế hợp lệ để chuyển dữ liệu cá nhân từ EEA tới Hoa Kỳ. Tuy nhiên, cũng trong phán quyết này, CJEU xác nhận rằng các công ty có thể (tùy vào việc thực hiện những biện pháp bổ sung, nếu được yêu cầu) tiếp tục sử dụng Điều khoản hợp đồng tiêu chuẩn như một cơ chế hợp lệ để chuyển dữ liệu cá nhân ra bên ngoài EEA. Ủy ban bảo vệ dữ liệu châu Âu (EDPB) -một hội đồng bao gồm đại diện của các cơ quan bảo vệ dữ liệu quốc gia tại châu Âu - đã đưa ra một danh sách chưa đầy đủ liệt kê các biện pháp bổ sung trong “Khuyến nghị số 01/2020 về những biện pháp bổ sung cho các công cụ chuyển dữ liệu nhằm đảm bảo tuân thủ mức độ bảo vệ dữ liệu cá nhân tại EU” của họ (Khuyến nghị EDPB).
Khuyến nghị EDPB cung cấp ví dụ về những biện pháp bổ sung mà các bên truy xuất dữ liệu có thể triển khai. Để biết chi tiết về tài nguyên liên quan đến việc truyền dữ liệu của AWS, hãy xem Câu hỏi thường gặp “Tôi có thể tiếp tục sử dụng các dịch vụ AWS sau phán quyết Schrems II không?” bên dưới.
-
Tôi có thể tiếp tục sử dụng các dịch vụ AWS sau phán quyết Schrems II không?
Có. Khách hàng của AWS có thể tiếp tục sử dụng các dịch vụ AWS để chuyển dữ liệu khách hàng từ châu Âu đến các quốc gia bên ngoài EEA và chưa được Ủy ban châu Âu đưa ra quyết định xác nhận biện pháp bảo vệ đầy đủ. Phán quyết Schrems II đã phê chuẩn việc sử dụng Điều khoản hợp đồng tiêu chuẩn (SCC) làm cơ chế truyền dữ liệu khách hàng ra bên ngoài EEA. Khách hàng của AWS có thể tiếp tục dựa vào SCC cho bất kỳ việc truyền dữ liệu khách hàng nào ra bên ngoài EEA theo GDPR.
- Vị trí xử lý. Khách hàng chọn Khu vực AWS lưu trữ dữ liệu khách hàng của họ. Bạn có thể tìm thấy phần tổng quan về Khu vực AWS hiện có trong Khu vực và Vùng sẵn sàng. AWS sẽ không xử lý dữ liệu khách hàng bên ngoài Khu vực AWS mà khách hàng đã chọn, trừ khi cần thiết cho mục đích cung cấp các dịch vụ AWS do khách hàng khởi xướng hoặc khi cần thiết để tuân thủ luật pháp hay lệnh ràng buộc của cơ quan chính phủ. Để tìm hiểu thêm về hoạt động truyền dữ liệu nằm trong các dịch vụ AWS, vui lòng xem trang web Tính năng bảo mật của chúng tôi.
- Bên xử lý phụ. AWS có thể sử dụng các bên xử lý phụ, tức là những công ty liên kết với AWS hoặc các bên thứ ba hỗ trợ xử lý dữ liệu khách hàng, để thực hiện các nghĩa vụ của chúng tôi đối với khách hàng theo AWS DPA hoặc để thay mặt chúng tôi cung cấp các dịch vụ. Để biết chi tiết, hãy xem Câu hỏi thường gặp “AWS có sử dụng bên xử lý phụ để xử lý dữ liệu khách hàng không?” bên dưới.
- Công cụ truyền dữ liệu. Do phán quyết Schrems II đã phê chuẩn việc sử dụng SCC làm cơ chế truyền dữ liệu đến quốc gia bên ngoài EEA chưa được Ủy ban châu Âu đưa ra quyết định xác nhận có mức độ bảo vệ dữ liệu thỏa đáng, nên khách hàng của chúng tôi có thể tiếp tục dựa vào SCC có trong AWS DPA nếu muốn chuyển dữ liệu của họ ra bên ngoài EEA theo GDPR.
- Biện pháp bổ sung.
- Khách hàng kiểm soát. Khách hàng luôn có quyền sở hữu và kiểm soát dữ liệu khách hàng của họ thông qua các công cụ đơn giản nhưng mạnh mẽ, cho phép xác định vị trí mà họ sẽ lưu trữ dữ liệu khách hàng, bảo mật dữ liệu khách hàng khi đang truyền và lưu trữ, cũng như quản lý quyền truy cập của người dùng vào tài nguyên AWS của họ, đồng thời sửa đổi, xóa và truy xuất dữ liệu khách hàng.
- Các biện pháp về mặt kỹ thuật và tổ chức. AWS triển khai các quy trình cũng như biện pháp kiểm soát có trách nhiệm và tinh vi về mặt vật lý và kỹ thuật, được thiết kế để ngăn chặn hành vi truy cập trái phép hoặc tiết lộ dữ liệu khách hàng (hãy truy cập trang web Tuân thủ của AWS để biết thêm thông tin). Chúng tôi cũng cung cấp một số dịch vụ mã hóa và dịch vụ quản lý khóa nâng cao (bao gồm các dịch vụ cho phép khách hàng quản lý khóa của riêng họ) mà khách hàng có thể sử dụng để bảo vệ dữ liệu khách hàng của họ khi đang chuyển và lưu trữ - không thể truy cập dữ liệu khách hàng đã mã hóa nếu không có khóa giải mã thích hợp. Dù dữ liệu của khách hàng đã được mã hóa hay chưa, chúng tôi sẽ luôn làm việc thận trọng để bảo vệ dữ liệu của khách hàng khỏi mọi hành vi truy cập trái phép.
- Yêu cầu của cơ quan thực thi pháp luật. AWS có các quy trình nội bộ để xử lý những yêu cầu chúng tôi nhận được từ cơ quan thực thi pháp luật. Khi chúng tôi nhận được yêu cầu cung cấp dữ liệu khách hàng từ phía cơ quan thực thi pháp luật, chúng tôi sẽ kiểm tra cẩn thận để xác thực tính chính xác và để xác minh rằng yêu cầu đó là thích đáng cũng như tuân thủ mọi luật hiện hành. AWS sẽ thông báo cho khách hàng trước khi tiết lộ dữ liệu khách hàng để họ có thể tìm kiếm biện pháp bảo vệ trước việc tiết lộ, trừ khi luật pháp cấm làm như vậy. Trong Phụ lục bổ sung cho AWS DPA (Phụ lục bổ sung), AWS củng cố những cam kết theo hợp đồng liên quan đến việc xử lý các yêu cầu cung cấp dữ liệu khách hàng của chính phủ, bao gồm bằng cách cam kết (i) sử dụng mọi nỗ lực hợp lý để chuyển hướng bất kỳ cơ quan chính phủ nào yêu cầu dữ liệu khách hàng đến khách hàng có liên quan, (ii) nhanh chóng thông báo yêu cầu đến khách hàng nếu được luật pháp cho phép làm vậy (bao gồm bằng cách sử dụng mọi nỗ lực hợp lý và hợp pháp để có được miễn trừ lệnh cấm nếu cần thiết), (iii) phản đối bất kỳ yêu cầu nào quá giới hạn hoặc không phù hợp, bao gồm cả trường hợp yêu cầu xung đột với luật của Liên minh Châu Âu, và (iv) nếu, sau khi hoàn thành các bước được mô tả ở trên, AWS vẫn buộc phải tiết lộ dữ liệu khách hàng theo yêu cầu của chính phủ, AWS chỉ tiết lộ những dữ liệu cần thiết tối thiểu để đáp ứng yêu cầu này.
- Các biện pháp theo hợp đồng. AWS đưa ra một số cam kết theo hợp đồng đối với các biện pháp đã mô tả ở trên và được phản ánh trong AWS DPA cũng như Phụ lục bổ sung. AWS DPA và Phụ lục bổ sung bao gồm các cam kết theo hợp đồng của AWS liên quan đến (1) lựa chọn của khách hàng về các Khu vực AWS nơi dữ liệu khách hàng được lưu trữ và xử lý, (2) các biện pháp kỹ thuật và tổ chức mà AWS đã triển khai để bảo vệ cơ sở hạ tầng AWS cũng như các biện pháp tổ chức - kỹ thuật mà khách hàng có thể lựa chọn áp dụng để bảo vệ dữ liệu khách hàng của họ, (3) các biện pháp của AWS nhằm bảo vệ dữ liệu khách hàng và thông báo tới khách hàng trong trường hợp cơ quan chính phủ yêu cầu tiết lộ dữ liệu, và (4) khả năng AWS thực hiện các nghĩa vụ được quy định trong AWS DPA tuân theo luật áp dụng ở quốc gia thứ ba nơi dữ liệu khách hàng được xử lý. Phụ lục bổ sung cũng đề cập đến (5) quyền theo luật định của cá nhân về việc yêu cầu bồi thường trong trường hợp các quyền của họ được GDPR trao cho bị vi phạm.
- Vị trí xử lý. Khách hàng chọn Khu vực AWS lưu trữ dữ liệu khách hàng của họ. Bạn có thể tìm thấy phần tổng quan về Khu vực AWS hiện có trong Khu vực và Vùng sẵn sàng. AWS sẽ không xử lý dữ liệu khách hàng bên ngoài Khu vực AWS mà khách hàng đã chọn, trừ khi cần thiết cho mục đích cung cấp các dịch vụ AWS do khách hàng khởi xướng hoặc khi cần thiết để tuân thủ luật pháp hay lệnh ràng buộc của cơ quan chính phủ. Để tìm hiểu thêm về hoạt động truyền dữ liệu nằm trong các dịch vụ AWS, vui lòng xem trang web Tính năng bảo mật của chúng tôi.
-
AWS có sử dụng bên xử lý phụ để xử lý dữ liệu khách hàng không?
Có. AWS có thể sử dụng bên xử lý phụ thuộc ba loại sau: (1) các đơn vị AWS cung cấp cơ sở hạ tầng mà dịch vụ AWS chạy trên đó; (2) các đơn vị AWS hỗ trợ những dịch vụ AWS cụ thể mà có thể yêu cầu các đơn vị này xử lý dữ liệu khách hàng; và (3) các bên thứ ba mà AWS đã ký hợp đồng để cung cấp hoạt động xử lý cho những dịch vụ AWS cụ thể. Trang web Bên xử lý phụ của AWS cung cấp thêm thông tin về các bên xử lý phụ mà AWS thuê theo AWS DPA, nhằm thay mặt khách hàng cung cấp các hoạt động xử lý dữ liệu khách hàng. Các đơn vị xử lý phụ liên quan đến từng khách hàng sẽ phụ thuộc vào Khu vực AWS mà khách hàng lựa chọn và các dịch vụ AWS cụ thể mà khách hàng sử dụng.
-
AWS trợ giúp khách hàng như thế nào khi khách hàng thực hiện đánh giá chuyển dữ liệu?
Báo cáo nghiên cứu chuyên sâu của AWS có tên Hướng dẫn việc tuân thủ các yêu cầu về chuyển dữ liệu của EU trình bày thông tin về các dịch vụ và tài nguyên mà AWS cung cấp cho khách hàng để hỗ trợ thực hiện đánh giá chuyển dữ liệu theo quy định Schrems II và các khuyến nghị sau đó của Ủy ban bảo vệ dữ liệu châu Âu. Báo cáo nghiên cứu chuyên sâu này cũng đề cập đến các biện pháp bổ sung đã được AWS thực hiện và cung cấp nhằm bảo vệ dữ liệu khách hàng.
-
Làm thế nào để chứng minh với cơ quan bảo vệ dữ liệu rằng việc sử dụng các dịch vụ AWS của tôi tuân thủ GDPR?
AWS cung cấp thông tin có ích cho khách hàng, bao gồm một số báo cáo tuân thủ từ các chuyên viên đánh giá bên thứ ba đã xác minh tính tuân thủ của chúng tôi bằng nhiều tiêu chuẩn và quy định về bảo mật, để chứng minh mức độ tuân thủ cao mà AWS duy trì đối với cơ sở hạ tầng của mình. Những báo cáo này cho khách hàng của chúng tôi biết rằng chúng tôi đang bảo vệ dữ liệu khách hàng mà họ chọn xử lý trên AWS. Ví dụ bao gồm việc tuân thủ ISO 27001, 27017 và 27018 của AWS. ISO 27018 có các biện pháp kiểm soát bảo mật tập trung vào việc bảo vệ dữ liệu khách hàng.
AWS cũng tuân thủ Bộ quy tắc ứng xử của CISPE đối với việc bảo vệ dữ liệu. Bạn có thể tìm thêm thông tin về Bộ quy tắc ứng xử của CISPE trong phần Câu hỏi thường gặp bên dưới, "AWS có tuân thủ Bộ quy tắc ứng xử được GDPR phê duyệt dành riêng cho các dịch vụ cơ sở hạ tầng đám mây không?"
-
AWS có tuân thủ Bộ quy tắc ứng xử của CISPE đã được GDPR phê duyệt dành riêng cho các dịch vụ cơ sở hạ tầng đám mây không?
Có. Tính đến tháng 6 năm 2023, 107 dịch vụ AWS tuân thủ Bộ quy tắc ứng xử của Nhà cung cấp dịch vụ cơ sở hạ tầng đám mây ở châu Âu (CISPE) đối với việc bảo vệ dữ liệu. CISPE là liên minh các tổ chức hàng đầu về điện toán đám mây, đang phục vụ hàng triệu khách hàng ở châu Âu. Bộ quy tắc bảo vệ dữ liệu của CISPE (Bộ quy tắc của CISPE), là bộ quy tắc bảo vệ dữ liệu đầu tiên trên toàn châu Âu tập trung vào các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây. Bộ quy tắc CISPE đã được Ủy ban bảo vệ dữ liệu châu Âu phê duyệt, thay mặt cho 27 cơ quan bảo vệ dữ liệu trên khắp châu Âu và được Cơ quan bảo vệ dữ liệu của Pháp (CNIL) áp dụng chính thức, đây cũng là cơ quan đóng vai trò là cơ quan giám sát chính. Năm 2017, AWS công bố tuân thủ theo phiên bản mới nhất của Bộ quy tắc CISPE.
Bộ quy tắc CISPE giúp khách hàng bảo đảm rằng nhà cung cấp dịch vụ cơ sở hạ tầng đám mây của họ cung cấp các biện pháp bảo đảm vận hành thích hợp để thể hiện sự tuân thủ GDPR và bảo vệ dữ liệu của khách hàng. Một số lợi ích chính của Bộ quy tắc CISPE bao gồm:
- Cơ sở hạ tầng đám mây tập trung: Làm rõ vai trò của nhà cung cấp dịch vụ cơ sở hạ tầng đám mây theo GDPR đối với việc xử lý dữ liệu khách hàng – tức là bất kỳ dữ liệu cá nhân nào được xử lý thay mặt cho khách hàng sử dụng dịch vụ cơ sở hạ tầng đám mây.
- Dữ liệu tại châu Âu: Yêu cầu các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây cung cấp cho khách hàng quyền lựa chọn sử dụng các dịch vụ để lưu trữ và xử lý dữ liệu khách hàng hoàn toàn trong Khu vực kinh tế châu Âu (EEA).
- Quyền riêng tư về dữ liệu: Bộ quy tắc của CISPE đảm bảo với các tổ chức rằng các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây đáp ứng các yêu cầu áp dụng cho dữ liệu cá nhân được xử lý thay mặt họ (dữ liệu khách hàng) theo GDPR.
Chứng nhận tuân thủ làm rõ trạng thái tuân thủ của AWS có trên Sổ đăng ký công khai của CISPE. Các dịch vụ AWS được liệt kê đã được xác minh độc lập là tuân thủ Bộ quy tắc của CISPE. Quy trình xác minh được thực hiện bởi Ernst & Young CertifyPoint (EY CertifyPoint), một cơ quan giám sát độc lập được công nhận trên toàn cầu do CNIL chứng nhận.
Các biện pháp về mặt kỹ thuật và tổ chức
-
GDPR có ảnh hưởng như thế nào tới mô hình chia sẻ trách nhiệm của AWS?
GDPR không thay đổi mô hình chia sẻ trách nhiệm của AWS. Mô hình này vẫn tiếp tục áp dụng cho khách hàng. Mô hình chia sẻ trách nhiệm là một phương pháp có ích để minh họa những trách nhiệm khác nhau của AWS (với tư cách là bên xử lý dữ liệu hoặc bên xử lý phụ) và khách hàng (với tư cách là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu) theo GDPR.
Theo mô hình chia sẻ trách nhiệm, AWS chịu trách nhiệm bảo mật cho cơ sở hạ tầng cơ bản hỗ trợ cho các dịch vụ AWS (“Tính bảo mật “CỦA” đám mây”), trong khi khách hàng, với vai trò là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu, chịu trách nhiệm về bất kỳ dữ liệu cá nhân nào mà họ đăng tải lên các dịch vụ AWS (“Tính bảo mật “TRONG” đám mây”).
Trách nhiệm của AWS đối với "Tính bảo mật của đám mây" - AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng toàn cầu vận hành tất cả các dịch vụ AWS. Cơ sở hạ tầng này gồm có phần cứng, phần mềm, mạng và cơ sở vận hành dịch vụ AWS, cung cấp các biện pháp kiểm soát mạnh mẽ cho khách hàng (bao gồm các biện pháp kiểm soát cấu hình bảo mật) để xử lý nội dung khách hàng. AWS cung cấp một số báo cáo tuân thủ từ các chuyên viên đánh giá bên thứ ba đã xác minh tính tuân thủ của chúng tôi với nhiều tiêu chuẩn và quy định về bảo mật máy tính (để biết thêm thông tin, hãy truy cập: trang web Tuân thủ của AWS). Những báo cáo này cho khách hàng của chúng tôi biết rằng chúng tôi đang bảo vệ dữ liệu khách hàng của họ. Những ví dụ bao gồm việc tuân thủ ISO 27001, 27017 và 27018 của AWS. ISO 27018 có các biện pháp kiểm soát bảo mật tập trung vào việc bảo vệ dữ liệu khách hàng.
Trách nhiệm của khách hàng đối với “Tính bảo mật trong đám mây” - Khách hàng của AWS chịu trách nhiệm thiết kế và bảo mật ứng dụng cũng như những giải pháp họ lựa chọn triển khai trên các dịch vụ AWS. Khách hàng của AWS cũng có trách nhiệm định cấu hình các dịch vụ AWS theo cách bảo vệ được tính bảo mật, tính toàn vẹn và nhu cầu bảo mật dữ liệu khách hàng của họ. Các trách nhiệm cụ thể của khách hàng trong việc bảo mật dữ liệu khách hàng của họ khác nhau tùy thuộc vào các dịch vụ AWS mà khách hàng lựa chọn sử dụng, cũng như cách những dịch vụ đó được tích hợp vào môi trường CNTT của khách hàng. Khách hàng của AWS có thể theo dõi, kiểm soát các dữ liệu khách hàng của họ và có thể triển khai các biện pháp kiểm soát bảo mật linh hoạt dựa trên mức độ nhạy cảm của loại dữ liệu khách hàng cụ thể. Khách hàng có thể thực hiện việc này bằng cách sử dụng các biện pháp và công cụ bảo mật của riêng mình hoặc bằng các biện pháp và công cụ bảo mật của AWS hay những nhà cung cấp khác. Thông qua đó, khách hàng có thể triển khai thêm các lớp bảo mật cho dữ liệu khách hàng nhạy cảm hơn.
AWS cung cấp các sản phẩm, công cụ, dịch vụ mà khách hàng có thể sử dụng để thiết kế cũng như bảo mật những ứng dụng và giải pháp của họ và có thể được triển khai để giúp xử lý các yêu cầu của GDPR, bao gồm:
- AWS Identity and Access Management (IAM) cho phép các tổ chức quản lý quyền truy cập vào dịch vụ và tài nguyên AWS một cách bảo mật. Khách hàng có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
- AWS CloudTrail cho phép các tổ chức ghi nhật ký, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trong AWS, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
- Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa được quản lý với chức năng liên tục giám sát hành vi độc hại hoặc trái phép để giúp bảo vệ tài khoản và khối lượng công việc AWS. Dịch vụ này giám sát hoạt động có dấu hiệu xâm phạm tài khoản như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép. Đồng thời, GuardDuty cũng phát hiện các phiên bản có khả năng bị xâm phạm hoặc hành vi do thám của những kẻ tấn công.
- Amazon Macie là một công cụ máy học giúp hỗ trợ khám phá và phân loại dữ liệu cá nhân lưu trữ trong Amazon S3.
Để biết thêm thông tin chi tiết về cách sử dụng các tài nguyên AWS tuân thủ GDPR, vui lòng xem báo cáo nghiên cứu chuyên sâu Cách đảm bảo tuân thủ GDPR trên AWS của chúng tôi.
-
Các đối tác AWS có cung cấp các sản phẩm và dịch vụ để giúp tuân thủ GDPR không?
Bạn có thể tìm kiếm từ khóa "GDPR" trong AWS Partner Solutions Finder để tìm ra Nhà cung cấp phần mềm độc lập (ISV), Nhà cung cấp dịch vụ được quản lý (MSP) và các đối tác Tích hợp hệ thống (SI) có sản phẩm và dịch vụ hỗ trợ việc tuân thủ GDPR. Khách hàng cũng có thể tìm kiếm các giải pháp "GDPR" trên AWS Marketplace.
-
AWS có hỗ trợ dịch vụ chuyên môn để đảm bảo tuân thủ GDPR không?
Có. Đội ngũ AWS Security Assurance Services có nhiều hoạt động để trợ giúp khách hàng trên hành trình tuân thủ GDPR của họ. Đội ngũ các chuyên gia trong ngành về việc tuân thủ được chứng nhận này giúp khách hàng đạt được, duy trì và tự động hóa việc tuân thủ trên đám mây bằng cách vận dụng các tiêu chuẩn tuân thủ hiện hành vào những tính năng và chức năng cụ thể của các dịch vụ AWS. Bạn có thể xem thêm thông tin chi tiết về cách những Tư vấn viên của AWS Professional Services đang trợ giúp khách hàng tại đây.
-
AWS Support có thể giúp tôi như thế nào trên hành trình tuân thủ GDPR?
Khách hàng có thể sử dụng AWS Support để nhận được hướng dẫn kỹ thuật giúp họ tuân thủ GDPR. Trong khuôn khổ hoạt động này, chúng tôi có các nhóm Kỹ sư hỗ trợ đám mây và Quản lý khách hàng kỹ thuật (TAM), họ đã được đào tạo để có thể nhận biết và giảm thiểu rủi ro tuân thủ. Mức độ hỗ trợ do AWS cung cấp phụ thuộc vào gói dịch vụ AWS Support mà khách hàng chọn. Những khách hàng muốn tìm hiểu khả năng trợ giúp của AWS Premium Support có thể xem thêm thông tin trong AWS Support Center có sẵn tại Bảng điều khiển quản lý AWS, bằng cách sử dụng chi tiết liên hệ đã được nêu cụ thể trong Thỏa thuận hỗ trợ doanh nghiệp giao kết với AWS hoặc bằng cách truy cập trang web của AWS Support. Khách hàng mua gói Hỗ trợ doanh nghiệp có thể liên hệ với TAM của mình nếu có thắc mắc liên quan đến GDPR.
Hai chương trình có thể giúp ích cho khách hàng khi họ thực hiện mục tiêu tuân thủ GDPR:
- Cloud Operations Review – Dành cho khách hàng sử dụng AWS Enterprise Support, chương trình này được thiết kế để xác định các lỗ hổng trong cách tiếp cận hoạt động trên đám mây. Bắt nguồn từ một bộ các biện pháp thực hành nghiệp vụ tốt nhất cùng với kinh nghiệm của AWS trong quá trình làm việc với nhiều khách hàng tiêu biểu, chương trình này đánh giá hoạt động đám mây và các thực tiễn quản lý đi kèm, từ đó có thể hỗ trợ các tổ chức trên hành trình tuân thủ GDPR của họ. Chương trình này sử dụng một cách tiếp cận với bốn trụ cột, tập trung vào việc chuẩn bị, giám sát, vận hành và tối ưu hóa các hệ thống trên nền đám mây trong nỗ lực theo đuổi sự vận hành vượt trội.
- Đánh giá kiến trúc tối ưu – Chương trình này cho phép các tổ chức đánh giá kiến trúc của mình theo những phương pháp tốt nhất của AWS đồng thời xây dựng kiến trúc bảo mật, đáng tin cậy, hiệu suất cao và tiết kiệm chi phí. Đánh giá kiến trúc tối ưu cho phép khách hàng hiểu rõ vị trí tiềm ẩn rủi ro trong kiến trúc của họ và giải quyết chúng trước khi ứng dụng vào sản xuất.
-
Làm cách nào AWS có thể giúp khách hàng đáp ứng các nghĩa vụ của mình theo GDPR, liên quan đến thông báo xâm phạm dữ liệu cá nhân?
AWS có quy trình giám sát sự cố bảo mật cũng như thông báo vi phạm dữ liệu và sẽ thông báo cho khách hàng về các hành vi xâm phạm hệ thống bảo mật của AWS ngay lập tức và phù hợp với AWS DPA. AWS cũng cung cấp cho khách hàng nhiều công cụ để hiểu rõ ai có quyền truy cập tài nguyên của họ, truy cập khi nào và từ vị trí nào. Một trong những công cụ này là AWS CloudTrail cho phép quản trị, tuân thủ, kiểm tra hoạt động và rủi ro của một tài khoản AWS. Với AWS CloudTrail, khách hàng có thể ghi nhật ký, liên tục giám sát và lưu giữ thông tin về hoạt động của tài khoản liên quan đến các hành động trên cơ sở hạ tầng AWS của họ. Điều này giúp các tổ chức hiểu rõ hoạt động đang diễn ra trong cơ sở hạ tầng AWS của mình và có thể ngay lập tức xử lý mọi hoạt động bất thường. Để biết thêm thông tin về các công cụ bảo mật khác được AWS cung cấp cho khách hàng nhằm giúp họ đáp ứng những nghĩa vụ của mình trong vai trò bên kiểm soát dữ liệu theo GDPR, hãy truy cậptrang web Khả năng bảo mật của Đám mây AWS.
-
Làm cách nào AWS giúp tôi bảo vệ dữ liệu khách hàng của mình trước các cuộc tấn công mạng?
AWS cung cấp cho khách hàng và Đối tác APN nhiều công cụ để bảo mật dữ liệu khách hàng của họ và giúp bảo vệ trước các cuộc tấn công mạng. Một công cụ như vậy là AWS Shield. Đây là một dịch vụ bảo vệ khỏi các cuộc Tấn công từ chối dịch vụ phân tán (DDoS) được quản lý nhằm bảo vệ các trang web và ứng dụng chạy trên AWS. AWS Shield Standard được áp dụng miễn phí và cung cấp khả năng phát hiện luôn bật và tự động giảm trực tiếp để có thể giảm thiểu thời gian chết và độ trễ của ứng dụng. Nếu muốn nhận được mức độ bảo vệ cao hơn trước các cuộc tấn công nhắm vào ứng dụng web chạy trên AWS và sử dụng tài nguyên ELB, Amazon CloudFront cũng như Amazon Route 53, khách hàng và Đối tác APN có thể đăng ký sử dụng AWS Shield Advanced. AWS cũng phát hành và thường xuyên cập nhật tài liệu Các phương pháp tốt nhất của AWS để phục hồi sau tấn công DDoS, giúp khách hàng sử dụng AWS để xây dựng những ứng dụng có khả năng phục hồi sau các cuộc tấn công DDoS.
Các công cụ khác của AWS giúp bảo vệ dữ liệu khách hàng trước các hình thức tấn công mạng bao gồm:
- AWS Identity and Access Management (IAM) cho phép các tổ chức quản lý quyền truy cập vào dịch vụ và tài nguyên AWS một cách bảo mật. Khách hàng và Đối tác APN có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
- AWS Config cho phép khách hàng và Đối tác APN kích hoạt các quy tắc tích hợp sẵn để giúp đảm bảo rằng tài nguyên AWS của họ được định cấu hình và trong trạng thái tuân thủ phù hợp.
- AWS CloudTrail cho phép các tổ chức ghi nhật ký, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trong AWS, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
- Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa được quản lý với chức năng liên tục giám sát hành vi độc hại hoặc trái phép để giúp bảo vệ tài khoản và khối lượng công việc AWS. Dịch vụ này giám sát hoạt động có dấu hiệu xâm phạm tài khoản như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép. Đồng thời, GuardDuty cũng phát hiện các phiên bản có khả năng bị xâm phạm hoặc hành vi do thám của những kẻ tấn công.
-
Có những công cụ nào giúp tôi xác định dữ liệu cá nhân trong nội dung của mình trên AWS?
Amazon Macie là dịch vụ bảo mật dữ liệu và quyền riêng tư về dữ liệu được quản lý toàn phần, sử dụng các kỹ thuật máy học và đối chiếu mẫu để phát hiện cũng như bảo vệ dữ liệu cá nhân của bạn trên AWS. Khi lượng dữ liệu do các tổ chức quản lý không ngừng gia tăng, việc xác định và bảo vệ dữ liệu cá nhân trên quy mô lớn sẽ ngày càng phức tạp, tốn kém và mất thời gian. Amazon Macie tự động phát hiện dữ liệu cá nhân trên quy mô lớn và giảm chi phí bảo vệ dữ liệu của bạn. Macie tự động cung cấp kho lưu trữ cho các vùng lưu trữ của Amazon S3, bao gồm danh sách các vùng lưu trữ không được mã hóa, vùng lưu trữ có thể truy cập công khai và vùng lưu trữ được chia sẻ với tài khoản AWS nằm ngoài các tài khoản bạn đã xác định trong AWS Organizations. Sau đó, Macie áp dụng kỹ thuật máy học và đối chiếu mẫu cho các vùng lưu trữ bạn chọn để xác định và đưa ra cảnh báo về dữ liệu cá nhân của bạn.
Amazon Macie được chứng nhận theo các tiêu chuẩn được công nhận trên toàn cầu như ISO 27017 đối với bảo mật đám mây, ISO 27018 đối với quyền riêng tư trên đám mây, đồng thời khách hàng và Đối tác APN cũng có thể sử dụng Macie để liên tục giám sát việc truy cập vào dữ liệu của họ nhằm phát hiện hoạt động đáng ngờ căn cứ vào các mẫu truy cập.
-
Làm cách nào tôi có thể kiểm soát việc truy cập dữ liệu cá nhân trong nội dung của mình trên AWS?
Để giúp khách hàng tuân thủ GDPR, AWS có nhiều công cụ để kiểm soát việc truy cập dữ liệu cá nhân có trong nội dung của họ trên AWS. Những công cụ này bao gồm:
- Bảo mật theo mặc định, có nghĩa là dịch vụ AWS được thiết kế để luôn bảo mật theo mặc định. Nếu sử dụng cấu hình mặc định, quyền truy cập vào tài nguyên sẽ bị khóa, chỉ dành cho chủ tài khoản và quản trị viên gốc.
- AWS Identity and Access Management (IAM) cho phép khách hàng quản lý việc truy cập vào các dịch vụ và tài nguyên AWS một cách bảo mật. Các tổ chức có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
- AWS Multi-Factor Authentication bổ sung thêm một lớp bảo vệ ngoài tên người dùng và mật khẩu của tài khoản AWS. AWS cho khách hàng lựa chọn giữa thiết bị MFA ảo và phần cứng.
- AWS Directory Service cho phép khách hàng tích hợp và liên kết với các thư mục của doanh nghiệp để giảm tổng chi phí hành chính và cải thiện trải nghiệm người dùng cuối.
- AWS Config cho phép khách hàng kích hoạt các quy tắc tích hợp sẵn để giúp đảm bảo rằng tài nguyên AWS của họ được định cấu hình và trong trạng thái tuân thủ phù hợp.
- AWS CloudTrail cho phép khách hàng ghi nhật ký, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trên toàn bộ cơ sở hạ tầng AWS của họ, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
- Amazon Macie sử dụng kỹ thuật máy học để giúp khách hàng ngăn chặn việc mất dữ liệu bằng cách tự động phát hiện, phân loại và bảo vệ dữ liệu nhạy cảm trên AWS. Dịch vụ được quản lý toàn diện này liên tục theo dõi hoạt động truy cập dữ liệu để phát hiện yếu tố bất thường, đồng thời khởi tạo cảnh báo chi tiết khi phát hiện thấy có rủi ro truy cập trái phép hoặc rò rỉ dữ liệu do vô ý – chẳng hạn như dữ liệu nhạy cảm mà một khách hàng đã vô tình tiết lộ ra bên ngoài.
-
Làm cách nào tôi có thể mã hóa dữ liệu cá nhân trên AWS để ngăn chặn truy cập trái phép?
AWS cung cấp cho khách hàng và Đối tác APN khả năng bổ sung một lớp bảo mật cho dữ liệu khách hàng của mình trong đám mây và giúp họ đáp ứng các nghĩa vụ xử lý bảo mật với vai trò là bên kiểm soát dữ liệu theo GDPR. Các công cụ mã hóa có sẵn trên AWS bao gồm:
- Các khả năng mã hóa dữ liệu có sẵn trong các dịch vụ lưu trữ và cơ sở dữ liệu AWS nhưAmazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS và Redshift
- Các tùy chọn quản lý khóa linh hoạt, bao gồm AWS Key Management Service, cho phép lựa chọn có nên để AWS quản lý khóa mã hóa hay cho phép khách hàng nắm toàn quyền kiểm soát các khóa
- Hàng đợi tin nhắn mã hóa để truyền dữ liệu nhạy cảm bằng cách sử dụng mã hóa phía máy chủ (SSE) cho Amazon SQS
- Lưu trữ khóa mật mã chuyên dụng, dựa trên phần cứng bằng cách sử dụng AWS CloudHSM, cho phép khách hàng đáp ứng các yêu cầu về tuân thủ
Ngoài ra, AWS cung cấp API cho khách hàng và Đối tác APN để họ tích hợp khả năng mã hóa và bảo vệ dữ liệu với bất kỳ dịch vụ nào mà họ phát triển hoặc triển khai trong môi trường AWS. -
AWS cung cấp cho khách hàng những dịch vụ nào để giúp họ tuân thủ GDPR?
AWS cung cấp các tính năng và dịch vụ cụ thể giúp khách hàng đáp ứng yêu cầu của GDPR:
Kiểm soát truy cập: Chỉ cho phép các quản trị viên, người dùng và các ứng dụng được cấp quyền truy cập vào tài nguyên AWS
- Multi-Factor-Authentication (MFA)
- Truy cập sâu vào các đối tượng trong Amazon S3-Buckets/ Amazon SQS/ Amazon SNS và những đối tượng khác
- Xác thực yêu cầu API
- Hạn chế địa lý
- Token truy cập tạm thời thông qua AWS Security Token Service
Giám sát và ghi nhật ký: Xem nội dung tổng quan về các hoạt động trên tài nguyên AWS của bạn
- Quản lý tài sản và định cấu hình bằng AWS Config
- Kiểm tra tuân thủ và phân tích bảo mật bằng AWS CloudTrail
- Nhận biết các thách thức về cấu hình thông qua AWS Trusted Advisor
- Ghi nhật ký truy cập vào đối tượng Amazon S3 một cách chi tiết
- Thông tin chi tiết về các luồng trong mạng thông qua Amazon VPC Flow Logs
- Kiểm tra cấu hình dựa trên quy tắc và hành động theo Quy tắc AWS Config
- Lọc và giám sát truy cập HTTP vào các ứng dụng có chức năng của AWS WAF trên AWS CloudFront
Mã hóa: Mã hóa dữ liệu trên AWS
- Mã hóa dữ liệu lưu trữ tại thiết bị của bạn bằng AES256 (EBS/S3/Glacier/RDS)
- Dịch vụ quản lý khóa được quản lý tập trung (theo Vùng AWS)
- Lồng ghép IPsec vào AWS bằng Cổng VPN
- Mô-đun HSM chuyên dụng trong đám mây với AWS CloudHSM
Khung tuân thủ và tiêu chuẩn bảo mật nghiêm ngặt: Chúng tôi thể hiện khả năng tuân thủ các tiêu chuẩn quốc tế nghiêm ngặt như:
- ISO 27001 đối với các biện pháp kỹ thuật
- ISO 27017 đối với bảo mật đám mây
- ISO 27018 đối với quyền riêng tư trên đám mây
- SOC 1, SOC 2 và SOC 3, PCI DSS cấp độ 1,
- Danh mục biện pháp kiểm soát tuân thủ điện toán đám mây phổ biến của BSI (C5)
- ENS High
AWS và UK GDPR
-
GDPR có còn áp dụng cho Vương quốc Anh nữa không?
GDPR là một quy định của Liên minh châu Âu và hậu Brexit. Quy định này không áp dụng cho Vương quốc Anh nữa. Chính phủ Vương quốc Anh đã đưa các yêu cầu của GDPR vào luật pháp Vương quốc Anh với tên “UK GDPR”.
-
Khách hàng có thể sử dụng AWS như thế nào để tuân thủ UK GDPR?
AWS cung cấp một Phụ lục UK GDPR tuân thủ UK GDPR kèm theo AWS DPA, trong đó có các cam kết của AWS với tư cách là bên xử lý dữ liệu theo UK GDPR. Phụ lục UK GDPR là một phần của Điều khoản dịch vụ AWS và tự động được áp dụng cho tất cả những khách hàng cần có thỏa thuận xử lý dữ liệu để tuân thủ UK GDPR.
-
Khách hàng có thể truyền dữ liệu khách hàng như thế nào để tuân thủ UK GDPR?
Phụ lục UK GDPR là một phần của Điều khoản dịch vụ AWS, bao gồm SCC được EC thông qua và phụ lục truyền dữ liệu quốc tế (IDTA) do nhà quản lý bảo vệ dữ liệu tại Vương quốc Anh cấp (Văn phòng ủy viên thông tin). IDTA sửa đổi SCC để đảm bảo những điều khoản này tạo thành một biện pháp bảo vệ thích hợp theo UK GDPR đối với hoạt động truyền dữ liệu quốc tế đến các quốc gia bên ngoài Vương quốc Anh chưa được công nhận là đã cung cấp mức độ bảo vệ đầy đủ cho dữ liệu cá nhân (các quốc gia thứ ba của Vương quốc Anh). Phụ lục UK GDPR xác nhận rằng SCC (được IDTA sửa đổi) sẽ tự động được áp dụng bất cứ khi nào khách hàng sử dụng dịch vụ AWS để truyền dữ liệu khách hàng tuân theo UK GDPR (dữ liệu khách hàng tại Vương quốc Anh) đến các quốc gia thứ ba của Vương quốc Anh. Là một phần của Phụ lục UK GDPR trong Điều khoản dịch vụ AWS, SCC (được IDTA sửa đổi) sẽ tự động được áp dụng bất cứ khi nào khách hàng sử dụng dịch vụ AWS để truyền dữ liệu khách hàng tại Vương quốc Anh đến các quốc gia thứ ba của Vương quốc Anh
AWS và Đạo luật bảo vệ dữ liệu liên bang Thụy Sĩ
-
Khách hàng có thể sử dụng AWS như thế nào để tuân thủ Đạo luật bảo vệ dữ liệu liên bang Thụy Sĩ?
AWS đưa ra Phụ lục Thụy Sĩ đối với Phụ lục xử lý dữ liệu của AWS (“Phụ lục Thụy Sĩ”). Phụ lục này chứa các cam kết của AWS với tư cách là đơn vị xử lý dữ liệu theo Đạo luật bảo vệ dữ liệu liên bang Thụy Sĩ (“FDPA”). Phụ lục Thụy Sĩ là một phần trong Điều khoản dịch vụ AWS (xem Phần 1.14.4) và được áp dụng tự động khi FDPA được áp dụng cho việc khách hàng sử dụng dịch vụ AWS để xử lý dữ liệu khách hàng.
-
Khách hàng có thể truyền dữ liệu khách hàng như thế nào để tuân thủ FDPA?
Phụ lục Thụy Sĩ của Phụ lục xử lý dữ liệu AWS – một phần trong Điều khoản dịch vụ AWS (xem Phần 1.14.4), chứa các Điều khoản hợp đồng tiêu chuẩn (“SCC”) được Ủy ban Châu Âu thông qua và được sửa đổi theo yêu cầu của Ủy viên thông tin và bảo vệ dữ liệu liên bang Thụy Sĩ. Phụ lục Thụy Sĩ xác nhận rằng SCC (được sửa đổi bởi Phụ lục Thụy Sĩ) sẽ tự động được áp dụng bất cứ khi nào khách hàng sử dụng dịch vụ AWS để truyền dữ liệu khách hàng tuân theo FDPA đến các quốc gia thứ ba.
Liên hệ
-
Tôi nên liên hệ với ai nếu có thắc mắc về GDPR và AWS?
Chúng tôi khuyến nghị khách hàng nên liên hệ với quản lý khách hàng AWS của mình trước tiên nếu có thắc mắc về GDPR. Nếu đã đăng ký gói Hỗ trợ doanh nghiệp, khách hàng cũng có thể liên hệ với Quản lý khách hàng kỹ thuật (TAM) của mình. Các TAM làm việc với Kiến trúc sư giải pháp để giúp khách hàng nhận biết những rủi ro tiềm tàng và biện pháp giảm nhẹ thiệt hại có thể có. Các TAM và nhóm quản lý tài khoản cũng có thể chỉ cho khách hàng và Đối tác APN biết về những tài nguyên cụ thể dựa vào môi trường và nhu cầu của mình.AWS cũng có những nhóm Người đại diện hỗ trợ doanh nghiệp, Tư vấn viên dịch vụ chuyên môn và các nhân viên khác để giúp giải đáp thắc mắc về GDPR. Bạn có thể gửi thắc mắc cho chúng tôi tại đây.