Przesyłanie danych AWS i UE: wzmocnione zobowiązania dla ochrony danych klientów
W zeszłym roku AWS opublikował post na blogu opisujący, w jaki sposób klienci mogą przekazywać dane osobowe zgodnie zarówno z GPDR, jak i nowym orzeczeniem „Schrems II”. Oto niektóre z solidnych i kompleksowych środków, które AWS podejmuje w celu ochrony danych osobowych klientów.
Niedawno AWS ogłosił wzmocnione zobowiązania umowne, które wykraczają poza to, co jest wymagane w orzeczeniu Schrems II i są obecnie zapewniane przez innych dostawców usług w chmurze w celu ochrony danych osobowych, które klienci powierzają przetwarzaniu AWS (dane klientów).
Co istotne, nowe zobowiązania dotyczą wszystkich danych klientów podlegających GDPR przetwarzanych przez AWS, niezależnie od tego, czy są one przekazywane poza Europejski Obszar Gospodarczy (EOG), czy też nie. Zobowiązania te są automatycznie dostępne dla wszystkich klientów korzystających z AWS do przetwarzania danych klientów, bez konieczności podejmowania dodatkowych działań, poprzez nowy dodatek uzupełniający do dodatku dotyczącego przetwarzania danych AWS GDPR.
Wzmocnione zobowiązania umowne obejmują:
- Kwestionowanie żądań egzekucyjnych: AWS będzie kwestionować żądania organów ścigania dotyczące danych klientów od organów rządowych, zarówno w EOG, jak i poza nim, w przypadku gdy wniosek jest sprzeczny z prawem UE, jest zbyt obszerny lub w innych przypadkach gdy będą do tego odpowiednie podstawy.
- Ujawnienie minimalnej niezbędnej ilości danych: AWS zobowiązuje się również, że jeśli pomimo wyzwań kiedykolwiek będzie zmuszony ważnym i wiążącym żądaniem prawnym do ujawnienia danych klientów, ujawni tylko minimalną ilość danych klienta niezbędną do spełnienia żądania.
Te wzmocnione zobowiązania wobec klientów opierają się na długich doświadczeniach w zakresie kwestionowania żądań organów ścigania. AWS rygorystycznie ogranicza - lub wręcz odrzuca - żądania organów ścigania dotyczące danych pochodzących z dowolnego kraju, w tym ze Stanów Zjednoczonych, jeśli są one zbyt obszerne lub mają do tego odpowiednie podstawy.
Zobowiązania te są kolejnym dowodem zaangażowania AWS w zabezpieczanie danych klientów: jest to najwyższy priorytet AWS. Wdrożono rygorystyczne środki umowne, techniczne i organizacyjne w celu ochrony poufności, integralności i dostępności danych klientów, niezależnie od tego, który Region AWS wybierze klient. Klienci mają pełną kontrolę nad swoimi danymi dzięki zaawansowanym usługom i narzędziom AWS, które pozwalają im określić, gdzie dane będą przechowywane, w jaki sposób są zabezpieczone i kto ma do nich dostęp.
Na przykład klienci korzystający z najnowszej generacji instancji EC2 automatycznie uzyskują ochronę systemu AWS Nitro. Korzystając ze specjalnie zbudowanego sprzętu, oprogramowania układowego
i oprogramowania, AWS Nitro zapewnia wyjątkowe i wiodące w branży zabezpieczenia i izolację, przenosząc wirtualizację zasobów pamięci masowej, bezpieczeństwa i sieci na dedykowany sprzęt oraz oprogramowanie. Zwiększa to bezpieczeństwo, minimalizując powierzchnię ataku i blokując dostęp administracyjny, jednocześnie poprawiając wydajność. Nitro został zaprojektowany do działania w najbardziej wrogiej sieci, jaką można sobie wyobrazić, wbudowując szyfrowanie, bezpieczny rozruch, sprzętowe źródło zaufania, zmniejszoną zaufaną bazę obliczeniową Trusted Computing Base (TCB) i ograniczenia dostępu operatora. Nowo ogłoszona funkcja AWS Nitro Enclaves umożliwia klientom tworzenie izolowanych środowisk obliczeniowych z kontrolą kryptograficzną w celu zapewnienia integralności kodu przetwarzającego bardzo wrażliwe dane.
AWS oferuje klientom bezpieczną i prywatną łączność sieciową w kontrolowanych przez klienta sieciach wirtualnych i między nimi oraz z usługami AWS. Wszystkie dane przesyłane między bezpiecznymi ośrodkami danych w AWS, strefami dostępności i regionami są automatycznie szyfrowane na poziomie sprzętowym. Klienci mogą polegać na wiodących w branży funkcjach szyfrowania i skorzystać z usług AWS Key Management Services, aby kontrolować własne klucze i zarządzać nimi w ramach sprzętowych modułów zabezpieczeń z certyfikatem FIPS-140-2. Niezależnie od tego, czy dane są zaszyfrowane, czy niezaszyfrowane, AWS zawsze czujnie chroni dane przed nieautoryzowanym dostępem. Aby dowiedzieć się więcej o podejściu do prywatności danych, warto zobaczyć: Data Privacy FAQ.
AWS nieustannie pracuje nad tym, aby klienci mogli korzystać z zalet AWS wszędzie tam, gdzie prowadzą działalność. AWS będzie aktualizować swoje praktyki, aby sprostać zmieniającym się potrzebom i oczekiwaniom klientów, i organów regulacyjnych oraz w pełni przestrzegać wszystkich obowiązujących przepisów w każdym kraju, w którym działa. Dzięki tym zmianom AWS kontynuuje obsesję na punkcie klientów, oferując narzędzia, możliwości i prawa umowne, których nikt inny nie ma.
źródło: AWS