RODO
-
Przegląd ogólnego rozporządzenia o ochronie danych
- General Data Protection Regulation (GDPR, Ogólne rozporządzenie o ochronie danych, RODO) jest europejskim prawem ochrony prywatności 1 (rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. 2 ), które weszło w życie 25 maja 2018 r. GDPR zastępuje unijną dyrektywę o ochronie danych osobowych (Dyrektywa 95/46/WE ) i ma na celu harmonizację przepisów o ochronie danych w całej Unii Europejskiej (UE) poprzez zastosowanie jednego prawa o ochronie danych, które jest wiążące dla każdego państwa członkowskiego UE. GDPR ma zastosowanie do wszelkiego rodzaju przetwarzania danych osobowych przez organizacje mające siedzibę w UE lub organizacje przetwarzające dane osobowe mieszkańców UE oferujące towary lub usługi osobom fizycznym w UE lub monitorujące zachowania mieszkańców UE w UE. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
-
agentBOT w chmurze AWS
- Dzięki AWS możesz być pewny, że Twoje dane są bezpieczne i że tylko upoważnione osoby mogą uzyskać do nich dostęp. AWS ma technologię, które zapewniają, że Twoje dane są bezpieczne.
-
Rola AWS zgodnie z zapisami GDPR
Zgodnie z zapisami GDPR AWS może być zarówno podmiotem przetwarzającym dane, jak i ich administratorem.
- AWS jako podmiot przetwarzający dane
Gdy klienci i dostawcy rozwiązań AWS korzystają z usług AWS w celu przetwarzania danych osobowych w swoich treściach, AWS pełni rolę podmiotu przetwarzającego dane. Do przetwarzania danych osobowych klienci i dostawcy rozwiązań AWS mogą korzystać z funkcji kontrolnych dostępnych w usługach AWS, w tym kontroli konfiguracji zabezpieczeń. W takich okolicznościach klient lub dostawcy rozwiązań AWS mogą pełnić rolę administratora lub podmiotu przetwarzającego dane, a AWS – podmiotu przetwarzającego dane lub podwykonawcę podmiotu przetwarzającego dane. Uzupełnienie dotyczące przetwarzania danych zgodnie z wymogami GDPR AWS (DPA) zawiera obowiązki AWS jako podmiotu przetwarzającego dane.
-
Ramy ścisłej zgodności i normy bezpieczeństwa
- Zgodnie z zapisami GDPR odpowiednie środki techniczne i organizacyjne mogą wymagać uwzględnienia „zdolności do zapewnienia ciągłej poufności, integralności, dostępności i niezawodności systemów i usług przetwarzania danych”, jak również niezawodnych procesów przywracania, testowania i ogólnego zarządzania ryzykiem. Program zgodności AWS Program AWS Compliance umożliwia klientom zapoznanie się z mocnymi mechanizmami kontrolnymi stosowanymi w AWS w celu utrzymania bezpieczeństwa i ochrony danych w chmurze AWS Cloud. Po wbudowaniu systemów w chmurę AWS Cloud odpowiedzialność za zgodność jest dzielona. Dzięki połączeniu zorientowanych na zarządzanie, przyjaznych dla audytora funkcji usług z obowiązującymi standardami zgodności lub audytu, mechanizmy zapewniające zgodność AWS Compliance, takie jak AWS Config, AWS CloudTrail, AWS Identity i Access Management, Amazon GuardDuty i AWS Security Hub opierają się na tradycyjnych programach, które pomagają klientom tworzyć i działać w środowisku kontrolowanym pod względem bezpieczeństwa. Infrastruktura IT, którą AWS zapewnia swoim klientom, jest projektowana i zarządzana zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa i wieloma standardami bezpieczeństwa IT, np.:
- SOC 1/SSAE 16/ISAE 3402 (dawniej SAS 70)
- SOC 2
- SOC 3
- FISMA, DIACAP i FedRAMP
- DoD SRG
- PCI DSS Poziom 1
- ISO 9001 / ISO 27001
- ITAR
- FIPS 140-2
- MTCS Tier 3
Ponadto elastyczność i kontrola, jakie zapewnia platforma AWS, umożliwia klientom wdrażanie rozwiązań, które spełniają kilka branżowych standardów3 . AWS dostarcza klientom szereg informacji na temat swojego środowiska kontroli IT za pośrednictwem białych ksiąg, raportów, certyfikatów, akredytacji i innych poświadczeń od stron trzecich. Więcej informacji znajdziesz na stronie Amazon Web Services: Biała księga Risk and Compliance.
-
Cloud Computing Compliance Controls Catalog
- Techniczne i organizacyjne środki ochrony danych oraz środki służące do zabezpieczenia informacji są ukierunkowane na bezpieczeństwo danych w celu zapewnienia poufności, integralności i dostępności. C5 określa wymogi bezpieczeństwa, które mogą być również istotne dla ochrony danych. Certyfikat C5 może być wykorzystywany przez klientów AWS i ich doradców ds. zgodności w celu zapoznania się z zakresem usług związanych z zapewnieniem bezpieczeństwa IT oferowanych przez AWS, gdy klienci przenoszą swoje pliki do chmury. C5 wprowadza zdefiniowany prawnie poziom bezpieczeństwa IT równoważny z poziomem bezpieczeństwa IT-Grundschutz, z dodatkiem środków kontroli specyficznych dla chmury. C5 zawiera więcej środków kontroli, które dostarczają informacji dotyczących lokalizacji danych, świadczenia usług, miejsca jurysdykcji, istniejącej certyfikacji, obowiązków w zakresie ujawniania informacji oraz opisu pełnego zakresu usług. Korzystając z tych informacji, można ocenić, w jaki sposób regulacje prawne (takie jak prywatność danych), własne zasady lub środowisko zagrożenia odnoszą się do korzystania z usług przetwarzania w chmurze..
-
Kontrola dostępu do aplikacji internetowych i aplikacji mobilnych
- AWS świadczy usługę zarządzania kontrolą dostępu do danych w ramach swoich aplikacji. Jeśli musisz dodać funkcje logowania użytkownika i kontroli dostępu do aplikacji internetowych i aplikacji mobilnych, możesz użyć Amazon Cognito. Amazon Cognito User Pools oferuje bezpieczny katalog użytkownika, który skaluje się do setek milionów użytkowników. Aby chronić tożsamość użytkowników, można do puli użytkowników dodać uwierzytelnianie wieloczynnikowe (MFA). Można również użyć uwierzytelniania adaptacyjnego, które wykorzystuje model oparty na ryzyku, aby przewidzieć, kiedy może być potrzebny inny czynnik uwierzytelniający. Dzięki Amazon Cognito możesz sprawdzić, kto uzyskał dostęp do Twoich zasobów i skąd pochodzi dostęp (aplikacja mobilna czy internetowa). Informacje te można wykorzystać do tworzenia zasad bezpieczeństwa, które umożliwiają lub uniemożliwiają dostęp do zasobów w zależności od rodzaju źródła dostępu (aplikacja mobilna lub internetowa).
-
Monitorowanie i logowanie
- Artykuł 30 GDPR stanowi, że „każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają”. Ten artykuł zawiera również szczegółowe informacje o tym, które informacje muszą być rejestrowane podczas monitorowania przetwarzania wszystkich danych osobowych zgodnie z wymogami GDPR. Administratorzy i podmioty przetwarzające dane są również zobowiązani do terminowego wysyłania powiadomień o naruszeniach, dlatego ważne jest szybkie wykrywanie incydentów. Aby pomóc klientom wywiązać się z tych zobowiązań, AWS oferuje następujące usługi monitorowania i logowania.
-
Ochrona danych w AWS
- Artykuł 32 GDPR wymaga od organizacji, żeby wdrożyły „odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi… pseudonimizację i szyfrowanie danych osobowych…”. Ponadto organizacje muszą zabezpieczyć się przed nieuprawnionym ujawnieniem lub dostępem do danych osobowych. Szyfrowanie zmniejsza ryzyko związane z przechowywaniem danych osobowych, ponieważ bez właściwego klucza dane są nieczytelne. Szczegółowa strategia szyfrowania może pomóc złagodzić wpływ różnych zdarzeń związanych z bezpieczeństwem, w tym niektórych naruszeń bezpieczeństwa.
-
Szyfrowanie danych w spoczynku
- Encrypting data at rest (szyfrowanie danych w spoczynku) ma zasadnicze znaczenie dla zgodności z przepisami i ochrony danych. Pomaga zagwarantować, że żaden użytkownik lub aplikacja nie będzie mogła odczytać wrażliwych danych zapisanych na dyskach bez ważnego klucza. AWS oferuje wiele opcji szyfrowania w spoczynku i zarządzania kluczami szyfrowania. Na przykład do szyfrowania dowolnych danych można użyć usługi AWS Encryption SDK z kluczem głównym klienta (CMK) utworzonym i zarządzanym w AWS Key Management Service (AWS KMS). Zaszyfrowane dane można bezpiecznie przechowywać w spoczynku i rozszyfrować tylko przez stronę posiadającą autoryzowany dostęp do CMK. W rezultacie otrzymujesz poufne dane zaszyfrowane dynamicznie, mechanizmy reguł autoryzacji i szyfrowania uwierzytelnionego, a także logowanie audytów poprzez AWS CloudTrail. Niektóre usługi podstawowe AWS mają wbudowane funkcje szyfrowania w spoczynku, które umożliwiają szyfrowanie danych przed zapisaniem ich do nieulotnej pamięci masowej. Na przykład za pomocą szyfrowania AES-256 możesz zaszyfrować woluminy Amazon Elastic Block Store (Amazon EBS) i skonfigurować wiadra Amazon Simple Storage Service (Amazon S3) do szyfrowania po stronie serwera (SSE). Usługa Amazon Amazon Web Services Zgodność usług AWS w odniesieniu do postanowień GDPR (RODO) 21 Relational Database Service (Amazon RDS) wspomaga także szyfrowanie Transparent Data Encryption (TDE). Inną metodą szyfrowania danych w bazach instancji Linux EC2 jest wykorzystanie wbudowanych bibliotek Linuksa. Metoda ta szyfruje pliki w sposób przezroczysty, co chroni poufne dane. W rezultacie aplikacje przetwarzające dane nie posiadają informacji na temat szyfrowania na poziomie dysku. Do szyfrowania plików w bazach instancji można zastosować dwie metody. Pierwszą metodą jest pełne szyfrowanie dysku (disk encryption), w którym cały dysk lub blok w obrębie dysku jest szyfrowany przy użyciu jednego lub więcej kluczy szyfrujących. Pełne szyfrowanie dysku działa poniżej poziomu systemu plików. Jest to funkcja działająca w dowolnym systemie operacyjnym i ukrywa katalogi i informacje o plikach, takie jak nazwa i rozmiar. Przykładowo pełne szyfrowanie dysku oferuje Encrypting File System, który jest rozszerzeniem Microsoft do systemu operacyjnego Windows NT New Technology File System (NTFS). Drugą metodą jest szyfrowanie na poziomie systemu plików (file-system-level encryption). Dzięki tej metodzie szyfrowane są pliki i katalogi, a nie cały dysk lub partycja. Szyfrowanie na poziomie systemu plików działa na szczycie systemu plików i można je przenosić między systemami operacyjnymi. W przypadku woluminów non-volatile memory express (NVMe, woluminów pamięci nieulotnej express) SSD instance store volumes (woluminy pamięci masowej na dyskach SSD), domyślną opcją jest szyfrowanie. Dane w pamięci masowej instancji NVMe są szyfrowane przy użyciu szyfru blokowego XTS-AES-256 wprowadzonego w module sprzętowym na instancji. Klucze szyfrujące są generowane przy użyciu modułu sprzętowego i są unikalne dla każdego urządzenia pamięci masowej NVMe. Wszystkie klucze szyfrujące są niszczone, gdy instancja jest zatrzymana lub zamknięta, i nie można ich odzyskać. Nie możesz używać własnych kluczy szyfrujących..
-
Szyfrowanie danych w tranzycie
- AWS stanowczo zaleca szyfrowanie danych w tranzycie z jednego systemu do drugiego, łącznie z zasobami w obrębie systemu AWS i poza nim. Podczas tworzenia konta AWS, przydziela się mu logicznie wyodrębnioną sekcję chmury AWS Cloud, czyli Amazon Virtual Private Cloud (Amazon VPC). Możesz tam uruchomić zasoby w sieci wirtualnej, którą sam definiujesz. Masz pełną kontrolę nad wirtualnym środowiskiem sieciowym, włącznie z wyborem własnego zakresu adresów IP, tworzeniem podsieci oraz konfiguracją tabel tras i bramek sieciowych. Możesz również utworzyć sprzętowe połączenie sieci Virtual Private Network (VPN, wirtualnej sieci prywatnej) pomiędzy firmowym centrum danych a Amazon VPC, dzięki czemu możesz używać chmury AWS Cloud jako rozszerzenia firmowego centrum danych. W celu ochrony komunikacji między centrum danych Amazon VPC i firmowym centrum danych możesz wybrać jedną z kilku opcji łączności VPN i wybrać taką, która najlepiej odpowiada Twoim potrzebom. Przy użyciu AWS Client VPN możesz włączyć bezpieczny dostęp do zasobów AWS, korzystając z usług VPN opartych na kliencie. Możesz również użyć innego oprogramowania urządzenia VPN, które możesz zainstalować na instancji Amazon EC2 w swoim Amazon VPC. Możesz też utworzyć połączenie IPsec VPN w celu ochrony komunikacji między VPC a siecią zdalną. Aby utworzyć dedykowane połączenie prywatne z sieci zdalnej do sieci Amazon VPC, możesz użyć usługi AWS Direct Connect. W celu utworzenia połączenia szyfrowanego przez IPsec możesz łączyć to połączenie z AWS Site-to-Site VPN. AWS udostępnia do komunikacji punkty końcowe HTTPS z wykorzystaniem protokołu TLS (Transport Layer Security), co zapewnia szyfrowanie w tranzycie podczas korzystania z AWS API. Z usługi AWS Certificate Manager (ACM) możesz korzystać w celu generowania, zarządzania i wdrażania prywatnych i publicznych certyfikatów, których używa się w celu utworzenia dla swoich zadań zaszyfrowanego transportu między systemami. Usługa Amazon Elastic Load Balancing jest zintegrowana z ACM i służy do obsługi protokołów HTTPS. Jeśli Twoje treści są dystrybuowane przez Amazon CloudFront, usługa ta obsługuje zaszyfrowane punkty końcowe.