Pusat Peraturan Perlindungan Data Umum (GDPR)
Kepatuhan Peraturan Perlindungan Data Umum (GDPR) saat menggunakan layanan AWS
Peraturan Perlindungan Data Umum (GDPR) Uni Eropa melindungi hak dasar atas privasi individu dan perlindungan data pribadi Uni Eropa (UE). Peraturan Perlindungan Data Umum (GDPR) mencakup persyaratan tangguh yang akan meningkatkan dan menyelaraskan standar untuk perlindungan data, keamanan, dan kepatuhan. Lihat FAQ Peraturan Perlindungan Data Umum (GDPR) kami di bawah ini untuk informasi selengkapnya.
Pelanggan AWS dapat menggunakan semua layanan AWS untuk memproses data pribadi (sebagaimana ditentukan dalam Peraturan Perlindungan Data Umum (GDPR)) yang diunggah ke layanan AWS di bawah akun AWS mereka (data pelanggan) sesuai dengan Peraturan Perlindungan Data Umum (GDPR). Selain kepatuhan kami sendiri, AWS berkomitmen untuk menawarkan layanan dan sumber daya kepada pelanggan kami untuk membantu mereka mematuhi persyaratan Peraturan Perlindungan Data Umum (GDPR) yang mungkin berlaku untuk aktivitas mereka. Fitur baru diluncurkan secara berkala, dan AWS memiliki lebih dari 500 fitur dan layanan yang berfokus pada keamanan dan kepatuhan. Untuk informasi lebih lanjut tentang apa yang dilakukan AWS, baca blog kami Bagaimana AWS membantu pelanggan UE menavigasi normal baru untuk perlindungan data..
Kontrol pelanggan
Pelanggan memiliki kontrol atas data pelanggan mereka. Dengan AWS, pelanggan dapat:
- Menentukan tempat data pelanggan akan disimpan, termasuk jenis penyimpanan dan wilayah geografis penyimpanan tersebut.
- Memilih status aman data pelanggan mereka. Kami menawarkan enkripsi yang kuat kepada pelanggan untuk data pelanggan dalam transit atau saat istirahat, dan kami menyediakan opsi kepada pelanggan untuk mengelola kunci enkripsi mereka sendiri.
- Kelola akses ke data pelanggan dan layanan serta sumber daya AWS mereka melalui pengguna, grup, izin, dan kredensial yang dikontrol pelanggan.
Transfer di luar Area Ekonomi Eropa (EEA)
Pelanggan AWS dapat terus menggunakan layanan AWS untuk mentransfer data pelanggan dari negara EEA ke non-EEA yang tidak menerima keputusan penerimaan dari Komisi Eropa (termasuk Amerika Serikat) sesuai dengan Peraturan Perlindungan Data Umum (GDPR). Di AWS, prioritas tertinggi kami adalah mengamankan data pelanggan, dan kami menerapkan langkah-langkah teknis dan organisasi yang ketat untuk melindungi kerahasiaan, integritas, dan ketersediaannya, terlepas dari Wilayah AWS yang dipilih pelanggan. Kami tahu bahwa transparansi penting untuk pelanggan kami. Kami mencantumkan layanan AWS yang melibatkan transfer data dari data pelanggan pada halaman web Fitur Privasi kami.
Karena aspek peraturan dan legislatif yang terus berubah, kami akan selalu berupaya untuk memastikan bahwa pelanggan kami dapat terus menikmati manfaat layanan AWS dari mana pun mereka beroperasi. Silakan lihat pembaruan pelanggan di EU-US Privacy Shield dan postingan blog kami tentang Adendum Tambahan untuk Adendum Pemrosesan Data AWS dan Kode Etik Perlindungan Data CISPE untuk informasi tambahan.
Sumber daya Peraturan Perlindungan Data Umum (GDPR)
FAQ Peraturan Perlindungan Data Umum (GDPR)
Gambaran umum dan dasar Peraturan Perlindungan Data Umum (GDPR)
-
Apa itu Peraturan Perlindungan Data Umum (GDPR)?
General Data Protection Regulation (GDPR) adalah undang-undang privasi Eropa yang menjadi berlaku pada 25 Mei 2018. GDPR menggantikan EU Data Protection Directive, yang juga dikenal sebagai Directive 95/46/EC, dan ditujukan untuk menyelaraskan undang-undang perlindungan data di seluruh Uni Eropa (UE) dengan menerapkan satu undang-undang perlindungan data yang mengikat di seluruh negara anggota.
-
Untuk siapa saja Peraturan Perlindungan Data Umum (GDPR) berlaku?
Peraturan Perlindungan Data Umum (GDPR) berlaku untuk semua organisasi yang berdiri di UE dan untuk organisasi, baik berdiri di UE maupun tidak, yang memproses data pribadi masyarakat UE yang berkaitan dengan penawaran barang atau jasa kepada subjek data di UE atau pemantauan perilaku yang terjadi di UE. Data pribadi adalah informasi apa pun yang terkait dengan orang perorangan yang teridentifikasi atau yang dapat diidentifikasi, termasuk nama, alamat email, dan nomor telepon.
-
Apakah AWS berperan sebagai pemroses data atau pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR)?
AWS bertindak sebagai pemroses data dan pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR).
- AWS sebagai pemroses data – Ketika pelanggan menggunakan layanan AWS untuk memproses data pribadi di konten yang mereka unggah ke layanan AWS, AWS bertindak sebagai pemroses data. Pelanggan dapat menggunakan kontrol yang tersedia dalam layanan AWS, termasuk kontrol konfigurasi keamanan, untuk menangani data pribadi. Berdasarkan keadaan tersebut, pelanggan dapat bertindak sebagai pengendali data atau pemroses data itu sendiri, dan AWS bertindak sebagai pemroses atau subpemroses data. AWS juga menawarkan Adendum Pemrosesan Data AWS yang mematuhi Peraturan Perlindungan Data Umum (GDPR) (AWS DPA) yang memasukkan komitmen AWS sebagai pemroses data. AWS DPA, yang menyertakan Klausul Kontrak Standar, adalah bagian dari Syarat Layanan AWS dan secara otomatistersedia untuk semua pelanggan yang mengharuskan untuk mematuhi Peraturan Perlindungan Data Umum (GDPR).
- AWS sebagai pengendali data – Ketika AWS mengumpulkan data pribadi serta menentukan tujuan dan maksud dari pemrosesan data pribadi tersebut – misalnya, ketika AWS menyimpan informasi akun (misalnya, alamat email yang diberikan selama pendaftaran akun) untuk pendaftaran akun, administrasi, akses layanan, atau informasi kontrak terkait akun AWS untuk menyediakan bantuan melalui aktivitas dukungan pelanggan – AWS bertindak sebagai pengendali data. Silakan lihat Pemberitahuan Privasi AWS untuk detail tentang bagaimana AWS memproses data pribadi sebagai pengendali.
-
Apa itu Klausul Kontrak Standar (SCC)?
SCC adalah mekanisme transfer data yang telah disetujui sebelumnya berdasarkan Peraturan Perlindungan Data Umum (GDPR), berlaku di semua Negara Anggota UE, yang memungkinkan transfer data pribadi yang sah ke negara di luar Wilayah Ekonomi Eropa yang belum menerima keputusan penerimaan dari Komisi Eropa (negara ketiga).
-
Bagaimana cara AWS memasukkan SCC ke dalam DPA Peraturan Perlindungan Data Umum (GDPR) AWS dengan pelanggan?
Persyaratan Layanan AWS mencakup SCC yang diadopsi oleh Komisi Eropa (EC) pada Juni 2021, dan AWS DPA mengonfirmasi bahwa SCC akan berlaku secara otomatis setiap kali pelanggan AWS menggunakan layanan AWS untuk mentransfer data pelanggan ke negara di luar Wilayah Ekonomi Eropa yang belum menerima keputusan penerimaan dari EC (negara ketiga). Sebagai bagian dari Persyaratan Layanan AWS, SCC baru akan berlaku secara otomatis setiap kali pelanggan menggunakan layanan AWS untuk mentransfer data pelanggan ke negara ketiga. Beberapa pelanggan yang telah menandatangani AWS DPA dapat terus mengandalkan AWS DPA tersebut karena SCC baru dalam Persyaratan Layanan AWS menggantikan versi SCC sebelumnya. Oleh karena itu, pelanggan dapat merasa nyaman bahwa setiap data pelanggan yang mereka transfer ke negara ketiga menggunakan layanan AWS memiliki tingkat perlindungan yang sama tinggi dengan yang diterima data pelanggan di EEA. Untuk informasi selengkapnya, silakan lihat postingan blog tentang penerapan Klausul Kontrak Standar baru.
Kepatuhan AWS dan Peraturan Perlindungan Data Umum (GDPR) mengikuti keputusan Schrems II dan Rekomendasi EDPB
-
Apa itu keputusan Schrems II dan Rekomendasi EDPB?
Pada 16 Juli 2020, Mahkamah Eropa (CJEU) menerbitkan aturan terkait transfer data pribadi masyarakat UE di luar EEA (Schrems II). Dalam Schrems II, CJEU memutuskan bahwa EU-US Privacy Shield bukan lagi mekanisme yang valid untuk mentransfer data pribadi dari EEA ke AS. Namun, dalam aturan yang sama, CJEU mengonfirmasi bahwa perusahaan (wajib menerapkan langkah-langkah tambahan, jika perlu) dapat terus menggunakan Klausul Kontraktual Standar sebagai mekanisme yang valid untuk mentransfer data pribadi di luar EEA. Dewan Perlindungan Data Eropa (EDPB), badan Eropa yang terdiri dari perwakilan otoritas perlindungan data negara Eropa, sejak saat itu memberikan daftar tindakan tambahan yang tidak lengkap dalam “Rekomendasi 01/2020 tentang tindakan yang melengkapi alat transfer untuk memastikan kepatuhan dengan tingkat perlindungan data pribadi di Eropa” (Rekomendasi EDPB).
Rekomendasi EDPB memberi pengekspor data dengan contoh tindakan tambahan yang dapat diterapkan. Lihat FAQ “Dapatkah saya terus menggunakan layanan AWS mengikuti pertimbangan Schrems II?” di bawah ini untuk detail tentang sumber daya transfer data AWS.
-
Dapatkah saya terus menggunakan layanan AWS mengikuti aturan Schrems II?
Ya, pelanggan AWS dapat terus menggunakan layanan AWS untuk mentransfer data pelanggan dari Eropa ke negara di luar EEA yang tidak menerima keputusan penerimaan dari Komisi Eropa. Aturan Schrems II memvalidasi penggunaan Klausul Kontraktual Standar (SCC) sebagai mekanisme untuk mentransfer data pelanggan di luar EEA dan pelanggan AWS dapat terus mengandalkan SCC untuk transfer data pelanggan apa pun di luar EEA sesuai dengan Peraturan Perlindungan Data Umum (GDPR).
- Lokasi pemrosesan. Pelanggan memilih Wilayah AWS tempat data pelanggan mereka akan disimpan. Gambaran umum Wilayah AWS yang tersedia dapat ditemukan di dalam Wilayah dan Availability Zone. AWS tidak akan memproses data pelanggan di luar Wilayah AWS yang dipilih pelanggan kecuali diperlukan untuk tujuan memberikan layanan AWS yang diajukan oleh pelanggan, atau seperlunya untuk mematuhi hukum atau perintah yang mengikat dari badan pemerintah. Silakan lihat halaman web Fitur Privasi kami untuk mengetahui lebih lanjut tentang transfer data sebagai bagian dari layanan AWS.
- Subprosesor. AWS dapat menggunakan subprosesor, misalnya, afiliasi atau pihak ketiga AWS untuk membantu pemrosesan data pelanggan, untuk memenuhi kewajiban kami kepada pelanggan berdasarkan AWS DPA, atau untuk menyediakan layanan atas nama kami. Lihat Pertanyaan Umum “Apakah AWS menggunakan subprosesor untuk memproses data pelanggan?” di bawah untuk detailnya.
- Alat transfer. Sejak keputusan Schrems II memvalidasi penggunaan SSC sebagai mekanisme untuk mentransfer data ke negara di luar EEA yang belum menerima keputusan penerimaan dari Komisi Eropa, pelanggan kami dapat terus mengandalkan SSC yang disertakan dalam AWS DPA jika pelanggan memilih untuk mentransfer data pelanggan di luar EEA sesuai dengan Peraturan Perlindungan Data Umum (GDPR).
- Tindakan tambahan.
- Kontrol pelanggan. Pelanggan memiliki kepemilikan dan kontrol atas data pelanggan mereka sepanjang waktu melalui alat sederhana yang canggih yang memungkinkan mereka menentukan lokasi data pelanggan mereka akan disimpan, mengamankan data pelanggan mereka dalam transit, dan mengelola akses pengguna ke sumber daya AWS mereka serta mengubah, menghapus, dan mengambil data pelanggan.
- Tindakan teknis dan organisasional. AWS mengimplementasikan kontrol dan proses teknis serta fisik yang bertanggung jawab dan canggih yang dirancang untuk mencegah akses tidak sah atau mengungkap data pelanggan (kunjungi halaman web Kepatuhan AWS untuk informasi selengkapnya). Kami juga menyediakan sejumlah layanan enkripsi dan manajemen kunci lanjutan (termasuk layanan yang memungkinkan pelanggan mengelola kunci mereka sendiri) yang dapat digunakan pelanggan untuk melindungi data mereka, baik saat dalam maupun saat istirahat - data pelanggan yang dienkripsi menjadi tidak dapat diakses tanpa kunci dekripsi yang berlaku. Terlepas dari apakah data pelanggan dienkripsi atau tidak dienkripsi, kami akan selalu berupaya dengan waspada untuk melindungi data pelanggan dari akses tidak sah apa pun.
- Permintaan penegakan hukum. AWS memiliki proses internal untuk mengatasi permintaan yang kami terima dari penegakan hukum. Ketika kami menerima permintaan untuk data pelanggan dari penegakan hukum, kami memeriksanya dengan hati-hati untuk mengautentikasi ketepatan dan untuk memastikan bahwa permintaan tersebut sesuai dengan hukum yang berlaku. Kecuali dilarang melakukannya secara hukum, AWS memberi tahu pelanggan sebelum mengungkapkan data pelanggan agar pelanggan dapat mengambil langkah selanjutnya untuk mencari perlindungan atas pengungkapan. Dalam Adendum Tambahan untuk AWS DPA (Adendum Tambahan), AWS membuat komitmen kontraktual yang diperkuat sehubungan dengan menangani permintaan pemerintah untuk data pelanggan, termasuk dengan berkomitmen untuk (i) menggunakan setiap upaya yang wajar untuk mengalihkan badan pemerintah mana pun yang meminta data pelanggan kepada pelanggan yang relevan, (ii) segera memberitahukan permintaan tersebut kepada pelanggan jika diizinkan secara hukum untuk melakukannya (termasuk dengan menggunakan semua upaya yang wajar dan sah untuk mendapatkan pengabaian larangan jika perlu), (iii) menentang permintaan yang berlebihan atau tidak pantas, termasuk jika permintaan tersebut bertentangan dengan hukum UE, dan (iv) jika, setelah menyelesaikan langkah-langkah yang dijelaskan di atas, AWS masih tetap diwajibkan untuk mengungkapkan data pelanggan sebagai tanggapan atas permintaan pemerintah, untuk mengungkapkan hanya sebagian kecil data pelanggan yang diperlukan untuk memenuhi permintaan tersebut.
- Tindakan kontraktual. AWS membuat beberapa komitmen kontraktual untuk tindakan yang dijelaskan di atas yang direfleksikan di AWS DPA dan Adendum Tambahan. AWS DPA dan Adendum Tambahan menyertakan komitmen kontraktual dari AWS mengenai (1) Wilayah AWS pilihan pelanggan tempat data pelanggan disimpan dan diproses, (2) tindakan teknis dan organisasional yang sudah diterapkan AWS untuk melindungi infrastruktur AWS dan tindakan organisasional teknis yang dapat dipilih pelanggan untuk diterapkan guna melindungi data pelanggan mereka, (3) tindakan AWS untuk melindungi data pelanggan dan memberi tahu pelanggan jika ada permintaan pengungkapan data dari badan pemerintah, dan (4) kemampuan AWS untuk memenuhi kewajibannya yang ditetapkan dalam AWS DPA sesuai dengan undang-undang yang berlaku di negara ketiga tempat data pelanggan diproses. Adendum Tambahan juga menangani (5) hak hukum individu untuk mengeklaim kompensasi jika terjadi pelanggaran hak mereka yang dijamin oleh Peraturan Perlindungan Data Umum (GDPR).
- Lokasi pemrosesan. Pelanggan memilih Wilayah AWS tempat data pelanggan mereka akan disimpan. Gambaran umum Wilayah AWS yang tersedia dapat ditemukan di dalam Wilayah dan Availability Zone. AWS tidak akan memproses data pelanggan di luar Wilayah AWS yang dipilih pelanggan kecuali diperlukan untuk tujuan memberikan layanan AWS yang diajukan oleh pelanggan, atau seperlunya untuk mematuhi hukum atau perintah yang mengikat dari badan pemerintah. Silakan lihat halaman web Fitur Privasi kami untuk mengetahui lebih lanjut tentang transfer data sebagai bagian dari layanan AWS.
-
Apakah AWS menggunakan subprosesor untuk memproses data pelanggan?
Ya, AWS dapat menggunakan tiga tipe subprosesor: (1) entitas AWS yang menyediakan infrastruktur tempat layanan AWS berjalan; (2) entitas AWS yang mendukung layanan AWS tertentu yang mungkin memerlukan entitas ini untuk memproses data pelanggan; dan (3) pihak ketiga yang sudah dikontrak AWS untuk menyediakan aktivitas pemrosesan untuk layanan AWS tertentu. Halaman web Subprosesor AWS menyediakan informasi lebih lanjut tentang subprosesor yang AWS libatkan sesuai dengan AWS DPA, untuk memberikan aktivitas pemrosesan data pelanggan atas nama pelanggan. Subprosesor yang relevan dengan pelanggan individu akan bergantung pada Wilayah AWS yang pelanggan pilih dan layanan AWS tertentu yang pelanggan gunakan.
-
Bagaimana cara AWS membantu pelanggan saat mereka melakukan penilaian transfer data?
Laporan resmi AWS, Menavigasi Kepatuhan dengan Persyaratan Transfer Data UE, memberikan informasi tentang layanan dan sumber daya yang ditawarkan AWS kepada pelanggan untuk membantu mereka melakukan penilaian transfer data sehubungan dengan keputusan Schrems II, dan rekomendasi selanjutnya dari Dewan Perlindungan Data Eropa. Laporan resmi ini juga menjelaskan langkah-langkah tambahan utama yang diambil dan disediakan oleh AWS untuk melindungi data pelanggan.
-
Bagaimana saya dapat membuktikan kepada otoritas perlindungan data bahwa penggunaan saya atas layanan AWS mematuhi Regulasi Perlindungan Data Umum (GDPR)?
AWS menawarkan informasi yang bermanfaat kepada pelanggan, termasuk beberapa laporan kepatuhan dari auditor pihak ketiga, yang telah memverifikasi kepatuhan kami terhadap berbagai macam standar dan peraturan keamanan, untuk membuktikan tingkat kepatuhan tinggi yang dipertahankan AWS bagi infrastrukturnya. Laporan ini menunjukkan kepada pelanggan kami, bahwa kami melindungi data pelanggan yang mereka pilih untuk diproses di AWS. Contoh dari kepatuhan AWS ini mencakup ISO 27001, 27017, dan 27018. ISO 27018 berisi kontrol keamanan yang berfokus pada perlindungan data pelanggan.
AWS juga patuh dengan Kode Etik CISPE untuk perlindungan data. Informasi selengkapnya tentang Pedoman Perilaku CISPE dapat ditemukan di FAQ di bawah ini, "Apakah AWS mematuhi Pedoman Perilaku yang disetujui oleh GDPR khusus untuk layanan infrastruktur cloud?"
-
Apakah AWS mematuhi Pedoman Perilaku CISPE yang disetujui oleh GDPR khusus untuk layanan infrastruktur cloud?
Ya. Sejak Juni 2023, 107 layanan AWS mematuhi Pedoman Perilaku Perlindungan Data Penyedia Layanan Infrastruktur Cloud di Eropa (CISPE). CISPE adalah koalisi para pemimpin komputasi cloud yang melayani jutaan pelanggan di Eropa. Pedoman Perilaku Perlindungan Data CISPE (Kode CISPE), adalah pedoman perilaku perlindungan data pan-Eropa pertama yang berfokus pada penyedia layanan infrastruktur cloud. Kode CISPE disetujui oleh Dewan Perlindungan Data Eropa, yang bertindak atas nama 27 otoritas perlindungan data di seluruh Eropa, dan secara resmi diadopsi oleh Otoritas Perlindungan Data Prancis (CNIL), yang bertindak sebagai otoritas pengawas utama. Pada tahun 2017, AWS mengumumkan kepatuhannya terhadap Kode CISPE versi sebelumnya.
Kode CISPE membantu pelanggan memastikan penyedia layanan infrastruktur cloud mereka menawarkan jaminan operasional yang tepat untuk menunjukkan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR) dan melindungi data pelanggan. Beberapa manfaat utama Kode CISPE tersebut mencakup:
- Fokus infrastruktur cloud: Menjelaskan peran penyedia layanan infrastruktur cloud berdasarkan Peraturan Perlindungan Data Umum (GDPR) mengenai pemrosesan data pelanggan – yakni, data pribadi apa pun yang diproses atas nama pelanggan menggunakan layanan infrastruktur cloud.
- Data di Eropa: Penyedia layanan infrastruktur cloud wajib memberi pelanggan pilihan untuk memilih layanan yang menyimpan dan memproses data pelanggan secara eksklusif dalam Area Ekonomi Eropa (EEA).
- Privasi data: Kode CISPE menjamin kepada organisasi bahwa penyedia layanan infrastruktur cloud mereka memenuhi persyaratan yang berlaku untuk data pribadi yang diproses atas nama mereka (data pelanggan) berdasarkan GDPR.
Sertifikat Kepatuhan yang menjelaskan status kepatuhan AWS tersedia di Daftar Publik CISPE. Layanan AWS yang terdaftar telah diverifikasi secara independen untuk mematuhi Kode CISPE. Proses verifikasi dilakukan oleh Ernst & Young CertifyPoint (EY CertifyPoint), sebuah lembaga pemantau independen yang diakui secara global dan diakreditasi oleh CNIL.
Tindakan teknis dan organisasional
-
Bagaimana cara Peraturan Perlindungan Data Umum (GDPR) memengaruhi model tanggung jawab bersama AWS?
GDPR tidak mengubah model tanggung jawab bersama AWS, yang terus relevan bagi pelanggan. Model tanggung jawab bersama merupakan pendekatan bermanfaat untuk menggambarkan tanggung jawab AWS yang berbeda-beda (sebagai pemroses atau subpemroses data) dan pelanggan (sebagai pengendali data atau pemroses data) berdasarkan Peraturan Perlindungan Data Umum (GDPR).
Berdasarkan model tanggung jawab bersama, AWS bertanggung jawab untuk mengamankan infrastruktur dasar yang mendukung layanan AWS (“Keamanan “DARI” cloud), dan pelanggan, yang bertindak sebagai pengendali data atau pemroses data, bertanggung jawab atas setiap data pribadi yang mereka unggah ke layanan AWS (“keamanan “DALAM” cloud”).
Tanggung jawab AWS "Keamanan dari cloud" – AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua layanan AWS. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS, yang memberikan kontrol yang kuat untuk pelanggan, termasuk kontrol konfigurasi keamanan, untuk menangani konten pelanggan. AWS menyediakan beberapa laporan kepatuhan dari auditor pihak ke tiga yang telah memverifikasi kepatuhan kami terhadap berbagai macam standar dan peraturan keamanan komputer (untuk informasi selengkapnya, kunjungi: halaman web Kepatuhan AWS). Laporan ini memperlihatkan kepada pelanggan kami, bahwa kami melindungi data pelanggan mereka. Contoh mencakup kepatuhan ISO 27001, 27017, dan 27018 AWS. ISO 27018 berisi kontrol keamanan yang berfokus pada perlindungan data pelanggan.
Tanggung jawab pelanggan “Keamanan di Cloud” - Pelanggan AWS bertanggung jawab untuk merancang dan mengamankan aplikasi serta solusi yang mereka pilih untuk di-deploy di layanan AWS. Pelanggan AWS juga bertanggung jawab untuk mengonfigurasi layanan AWS dengan cara yang melindungi kerahasiaan, integritas, dan kebutuhan keamanan data pelanggan mereka. Tanggung jawab khusus yang harus dimiliki pelanggan untuk mengamankan data pelanggan mereka bervariasi bergantung pada layanan AWS yang pelanggan pilih untuk digunakan dan cara layanan tersebut diintegrasikan ke dalam lingkungan IT pelanggan. Pelanggan AWS memiliki visibilitas dan kontrol atas data pelanggan mereka serta dapat mengimplementasikan kontrol keamanan yang fleksibel berdasarkan sensitivitas jenis data pelanggan tertentu. Pelanggan dapat melakukan ini dengan memanfaatkan tindakan dan alat keamanannya sendiri, atau menggunakan tindakan dan alat keamanan yang disediakan oleh AWS atau pemasok lainnya. Dengan cara ini, pelanggan dapat menerapkan lapisan keamanan tambahan untuk data pelanggan yang lebih sensitif.
AWS menyediakan produk, alat, dan layanan yang dapat pelanggan gunakan untuk merancang dan mengamankan aplikasi dan solusi mereka serta yang dapat di-deploy untuk membantu mematuhi persyaratan Peraturan Perlindungan Data Umum (GDPR), termasuk:
- AWS Identity and Access Management (IAM) memungkinkan organisasi mengelola akses ke layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, pelanggan dapat membuat dan mengelola pengguna serta grup AWS serta menggunakan izin untuk membolehkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
- AWS CloudTrail memungkinkan organisasi mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di AWS, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
- Amazon GuardDuty adalah layanan deteksi ancaman terkelola yang memantau terus-menerus perilaku jahat dan tidak sah untuk membantu melindungi akun dan beban kerja AWS. Layanan tersebut memantau aktivitas yang dapat menunjukkan kemungkinan kebocoran akun, seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah. GuardDuty juga mendeteksi instans yang berpotensi ditembus atau diintai oleh penyerang.
- Amazon Macie adalah alat machine learning untuk membantu menemukan dan mengklasifikasikan data pribadi yang disimpan di Amazon S3.
Lihat laporan resmi kami, Menavigasi Kepatuhan GDPR di AWS, untuk detail lebih lanjut tentang cara menggunakan sumber daya AWS sesuai dengan GDPR.
-
Apakah partner AWS menawarkan produk dan layanan untuk membantu mematuhi Peraturan Perlindungan Data Umum (GDPR)?
Ya, Anda dapat mencari “GDPR” (Peraturan Perlindungan Data Umum (GDPR)) di AWS Partner Solutions Finder untuk membantu menemukan partner ISV, MSP, dan SI yang memiliki produk dan layanan untuk membantu mewujudkan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR). Pelanggan juga dapat mencari solusi “GDPR” (Peraturan Perlindungan Data Umum (GDPR)) di AWS Marketplace.
-
Apakah AWS menawarkan bantuan layanan profesional terkait kepatuhan Peraturan Perlindungan Data Umum (GDPR)?
Ya, Layanan Jaminan Keamanan AWS memiliki sejumlah aktivitas untuk membantu pelanggan di perjalanan mereka untuk mencapai kepatuhan Peraturan Perlindungan Data Umum (GDPR). Tim profesional kepatuhan yang disertifikasi industri ini membantu pelanggan mencapai, mengelola, dan mengotomatiskan kepatuhan di cloud dengan menyatukan kepatuhan yang berlaku ke fitur dan fungsionalitas khusus keamanan AWS. Detail selengkapnya tentang bagaimana Konsultan AWS Professional Services membantu pelanggan dapat ditemukan di sini.
-
Bagaimana AWS Support dapat membantu saya dalam memastikan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR)?
Pelanggan dapat menggunakan AWS Support untuk menerima panduan teknis guna membantu mereka mencapai kepatuhan Peraturan Perlindungan Data Umum (GDPR). Sebagai bagian dari aktivitas ini, kami memiliki tim Teknisi Dukungan Cloud dan Manajer Akun Teknis (TAM) yang dilatih untuk membantu mengidentifikasi dan memitigasi risiko kepatuhan. Tingkat dukungan yang disediakan AWS bergantung pada Paket AWS Support yang dipilih pelanggan. Pelanggan yang ingin memahami cara AWS Premium Support dapat membantu pelanggan dapat menemukan informasi lebih lanjut di AWS Support Center, tersedia melalui Konsol Manajemen AWS, dengan menggunakan detail kontak yang ditentukan dalam Perjanjian Dukungan Korporasi yang disepakati dengan AWS, atau dengan mengunjungi: halaman web AWS Support. Pelanggan dengan Enterprise Support harus menghubungi TAM mereka dengan pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR).
Pelanggan dapat menemukan dua program bermanfaat berikut saat mereka mengejar kepatuhan Peraturan Perlindungan Data Umum (GDPR):
- Cloud Operations Review – Tersedia bagi pelanggan AWS Enterprise Support, program ini didesain untuk membantu mengidentifikasi celah dalam pendekatan mereka untuk beroperasi di cloud. Berasal dari serangkaian praktik terbaik operasional yang ditawarkan dari pengalaman AWS dengan sejumlah besar pelanggan representatif, program ini memberikan tinjauan operasi cloud dan praktik manajemen terkait, yang dapat membantu organisasi memenuhi kepatuhan GDPR. Program tersebut menggunakan pendekatan empat pilar dengan berfokus pada persiapan, pemantauan, operasi, dan pengoptimalan sistem berbasis cloud dalam mewujudkan keunggulan operasional.
- Well-Architected Review – Program ini memungkinkan organisasi mengukur arsitektur mereka terhadap praktik terbaik AWS dan untuk membangun arsitektur yang aman, andal, berperforma tinggi, dan hemat biaya. Well-Architected Review juga memungkinkan pelanggan memahami bagian arsitektur mereka yang berisiko dan mengatasinya sebelum aplikasi diteruskan ke produksi.
-
Bagaimana AWS membantu pelanggan memenuhi kewajiban mereka berdasarkan Peraturan Perlindungan Data Umum (GDPR), terkait notifikasi pelanggaran data pribadi?
AWS menyediakan notifikasi proses pemantauan insiden dan pelanggaran data serta akan memberi tahu pelanggan atas pelanggaran keamanan AWS tanpa penundaan yang tidak semestinya dan sesuai dengan AWS DPA. AWS juga memberi pelanggan sejumlah alat untuk memahami siapa yang memiliki akses ke sumber daya mereka, kapan, dan dari mana. Salah satu alat tersebut adalah AWS CloudTrail yang memungkinkan tata kelola, kepatuhan, audit operasional, dan audit risiko terhadap akun AWS. Dengan AWS CloudTrail, pelanggan dapat mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di seluruh infrastruktur AWS mereka. Hal ini membantu organisasi memahami apa yang terjadi dengan infrastruktur AWS mereka dan dapat segera mengambil tindakan atas aktivitas yang tidak biasa. Untuk informasi selengkapnya tentang alat keamanan lain yang diberikan AWS kepada pelanggan untuk membantu memenuhi kewajiban mereka sebagai pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR), kunjungi: halaman web Keamanan AWS Cloud.
-
Bagaimana AWS membantu saya melindungi data pelanggan saya terhadap serangan siber?
AWS memberi pelanggan dan Partner APN sejumlah alat untuk mengamankan data pelanggan mereka dan membantu melindungi serangan siber. Salah satu alat tersebut adalah AWS Shield. Ini adalah layanan perlindungan Distributed Denial of Service (DDoS) terkelola untuk melindungi situs web dan aplikasi yang berjalan di AWS. AWS Shield Standard tersedia tanpa biaya tambahan serta memberikan deteksi selalu aktif dan mitigasi inline otomatis yang dapat mengurangi downtime dan latensi aplikasi. Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi web yang berjalan di AWS dan yang menggunakan sumber daya ELB, Amazon CloudFront, dan Amazon Route 53, pelanggan dan Partner APN dapat berlangganan AWS Shield Advanced. AWS juga memublikasikan dan secara rutin memperbarui Praktik Terbaik AWS untuk Ketahanan DDoS yang dapat membantu pelanggan menggunakan AWS untuk membangun aplikasi yang tahan terhadap serangan DDoS.
Alat lain yang dimiliki AWS untuk membantu melindungi data pelanggan terhadap serangan siber meliputi:
- AWS Identity and Access Management (IAM) memungkinkan organisasi mengelola akses ke layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, pelanggan dan Partner APN dapat membuat dan mengelola pengguna dan grup AWS serta menggunakan izin untuk mengizinkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
- AWS Config memungkinkan pelanggan dan Partner APN menjalankan aturan yang dikemas sebelumnya yang membantu memastikan sumber daya AWS mereka dikonfigurasi dengan benar dan sesuai standar.
- AWS CloudTrail memungkinkan organisasi mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di AWS, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
- Amazon GuardDuty adalah layanan deteksi ancaman terkelola yang memantau terus-menerus perilaku jahat dan tidak sah untuk membantu melindungi akun dan beban kerja AWS. Layanan tersebut memantau aktivitas yang dapat menunjukkan kemungkinan kebocoran akun, seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah. GuardDuty juga mendeteksi instans yang berpotensi ditembus atau diintai oleh penyerang.
-
Alat apa yang tersedia untuk membantu saya mengidentifikasi data pribadi dalam konten saya di AWS?
Amazon Macie adalah layanan privasi data dan keamanan data terkelola penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data personal Anda di AWS. Ketika organisasi mengelola volume data yang terus tumbuh, mengidentifikasi dan melindungi data personal mereka sesuai skala dapat menjadi proses yang makin rumit, mahal, dan menghabiskan banyak waktu. Amazon Macie mengotomatiskan penemuan data personal sesuai skala dan mengurangi biaya perlindungan data Anda. Macie secara otomatis menyediakan inventaris bucket Amazon S3 termasuk daftar bucket yang tidak terenkripsi, bucket yang dapat diakses publik, dan bucket yang dibagikan dengan akun AWS di luar yang sudah ditentukan di AWS Organizations. Selanjutnya, Macie menerapkan teknik machine learning dan pencocokan pola ke bucket yang Anda pilih untuk mengidentifikasi dan memperingatkan Anda terkait data pribadi.
Amazon Macie disertifikasi dengan standar yang diakui secara internasional, seperti ISO 27017 untuk keamanan cloud, ISO 27018 untuk privasi cloud. Pelanggan dan Partner APN juga dapat menggunakan Macie untuk terus memantau akses ke data mereka agar dapat mendeteksi aktivitas mencurigakan berdasarkan pola akses.
-
Bagaimana saya dapat mengontrol akses ke data pribadi dalam konten saya di AWS?
Untuk membantu pelanggan dengan kepatuhan GDPR, AWS memiliki sejumlah alat untuk mengontrol akses ke data pribadi yang terdapat dalam konten mereka di AWS. Alat tersebut mencakup:
- Keamanan secara default berarti layanan AWS didesain agar aman secara default. Jika konfigurasi default digunakan, akses ke sumber daya dikunci sehingga hanya tersedia bagi pemilik akun dan administrator root.
- AWS Identity and Access Management (IAM) memungkinkan Anda mengelola akses layanan AWS dan sumber daya secara aman. Dengan menggunakan IAM, organisasi dapat membuat dan mengelola pengguna dan grup AWS serta menggunakan izin untuk mengizinkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
- AWS Multi-Factor Authentication menambahkan lapisan perlindungan ekstra di samping nama pengguna dan kata sandi akun AWS. AWS memberi pelanggan opsi perangkat virtual dan MFA perangkat keras.
- AWS Directory Service memungkinkan pelanggan mengintegrasikan dan menggabungkan direktori perusahaan untuk mengurangi overhead administratif dan meningkatkan pengalaman pengguna akhir.
- AWS Config memungkinkan pelanggan menjalankan aturan yang dikemas sebelumnya yang membantu memastikan sumber daya AWS mereka dikonfigurasi dengan benar dan sesuai standar.
- AWS CloudTrail memungkinkan pelanggan mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di seluruh infrastruktur AWS mereka, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
- Amazon Macie menggunakan machine learning untuk membantu pelanggan mencegah kehilangan data dengan menemukan, mengklasifikasikan, dan melindungi data sensitif di AWS secara otomatis. Layanan terkelola penuh ini terus memantau anomali aktivitas akses data dan membuat pemberitahuan mendetail ketika mendeteksi akses yang tidak sah atau kebocoran data secara tidak sengaja – seperti data sensitif yang secara tidak sengaja dibuat dapat diakses secara eksternal oleh pelanggan.
-
Bagaimana saya dapat mengenkripsi data pelanggan di AWS untuk mencegah akses tidak sah?
AWS menawarkan kepada pelanggan dan Partner APN kemampuan untuk menambahkan lapisan keamanan tambahan ke data pelanggan mereka saat istirahat di cloud dan membantu mereka memenuhi kewajiban keamanan pemrosesan mereka sebagai pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR). Alat Enkripsi yang tersedia di AWS mencakup:
- Kemampuan enkripsi data yang tersedia di layanan penyimpanan dan basis data AWS, seperti Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS, dan Redshift
- Opsi manajemen kunci fleksibel, termasuk AWS Key Management Service, memungkinkan pilihan apakah AWS mengelola kunci enkripsi atau memungkinkan pelanggan mempertahankan kontrol penuh atas kunci
- Antrean pesan terenkripsi untuk transmisi data sensitif menggunakan enkripsi di sisi server (SSE) untuk Amazon SQS
- Penyimpanan kunci kriptografis khusus berbasis perangkat keras menggunakan AWS CloudHSM, sehingga memungkinkan pelanggan memenuhi persyaratan kepatuhan
Selain itu, AWS menyediakan API bagi pelanggan dan Partner APN untuk mengintegrasikan enkripsi dan perlindungan data dengan salah satu layanan yang mereka kembangkan atau melakukan deployment di lingkungan AWS. -
Layanan apa yang ditawarkan AWS kepada pelanggan untuk membantu mematuhi Peraturan Perlindungan Data Umum (GDPR)?
AWS memberikan fitur dan layanan khusus yang membantu pelanggan memenuhi persyaratan Peraturan Perlindungan Data Umum (GDPR):
Kontrol Akses: Hanya izinkan administrator, pengguna, dan aplikasi yang sah untuk mengakses sumber daya AWS
- Otentikasi Multi-Faktor (MFA)
- Akses granuler halus ke objek di Amazon S3-Bucket/Amazon SQS/Amazon SNS dan lainnya
- Autentikasi Permintaan API
- Pembatasan Geografis
- Token akses sementara melalui AWS Security Token Service
Pemantauan dan Pencatatan Log: Dapatkan gambaran umum tentang aktivitas di sumber daya AWS Anda
- Manajemen dan Konfigurasi Aset dengan AWS Config
- Audit Kepatuhan dan analitik keamanan dengan AWS CloudTrail
- Identifikasi tantangan konfigurasi melalui AWS Trusted Advisor
- Pencatatan log yang sangat terperinci untuk akses ke objek Amazon S3
- Informasi mendetail tentang alur di jaringan melalui Amazon VPC-Flow Logs
- Pemeriksaan dan tindakan konfigurasi berbasis aturan dengan AWS Config Rules
- Memfilter dan memantau akses HTTP ke aplikasi dengan fungsi AWS WAF di AWS CloudFront
Enkripsi: Enkripsi Data di AWS
- Enkripsi data Anda saat istirahat dengan AES256 (EBS/S3/Glacier/RDS)
- Key Management yang Dikelola Secara Terpusat (menurut Wilayah AWS)
- Terowongan IPsec ke AWS dengan VPN-Gateway
- Modul HSM khusus di cloud dengan AWS CloudHSM
Kerangka Kerja Kepatuhan dan Standar Keamanan yang Kuat: Kami menunjukkan kepatuhan dengan standar internasional yang akurat, seperti:
- ISO 27001 untuk tindakan teknis
- ISO 27017 untuk keamanan cloud
- ISO 27018 untuk privasi cloud
- SOC 1, SOC 2, dan SOC 3, PCI DSS Level 1,
- Katalog Kontrol Komputasi Cloud Umum BSI (C5)
- ENS High
AWS dan Peraturan Perlindungan Data Umum (GDPR) di Inggris Raya
-
Apakah Peraturan Perlindungan Data Umum (GDPR) masih berlaku untuk Inggris Raya?
Peraturan Perlindungan Data Umum (GDPR) adalah peraturan Uni Eropa dan setelah Brexit, serta tidak lagi berlaku untuk Inggris Raya. Pemerintah Inggris Raya memasukkan persyaratan Peraturan Perlindungan Data Umum (GDPR) ke dalam undang-undang Inggris Raya sebagai "GDPR Inggris Raya".
-
Bagaimana pelanggan dapat menggunakan AWS agar sesuai dengan Regulasi Perlindungan Data Umum (GDPR) Inggris Raya?
AWS menawarkan Adendum Regulasi Perlindungan Data Umum (GDPR) Inggris Raya yang sesuai Regulasi Perlindungan Data Umum (GDPR) Inggris Raya untuk AWS DPA yang mencantumkan komitmen AWS sebagai pemroses data berdasarkan Regulasi Perlindungan Data Umum (GDPR) Inggris Raya. Adendum Regulasi Perlindungan Data Umum (GDPR) Inggris Raya merupakan bagian dari Persyaratan Layanan AWS dan berlaku secara otomatis bagi semua pelanggan yang memerlukan perjanjian pemrosesan data guna mematuhi Regulasi Perlindungan Data Umum (GDPR) Inggris Raya.
-
Bagaimana pelanggan dapat mentransfer data pelanggan agar sesuai dengan Regulasi Perlindungan Data Umum (GDPR) Inggris Raya?
Adendum Regulasi Perlindungan Data Umum (GDPR) Inggris Raya, yang merupakan bagian dari Persyaratan Layanan AWS, mencakup SCC yang diadopsi oleh EC dan adendum transfer data internasional (IDTA) yang diterbitkan oleh regulator perlindungan data Inggris Raya (Kantor Komisaris Informasi). IDTA mengubah SCC untuk memastikan bahwa SCC merupakan perlindungan yang sesuai berdasarkan Regulasi Perlindungan Data Umum (GDPR) Inggris Raya untuk transfer data internasional ke negara-negara di luar Inggris Raya yang belum diakui serta memberikan tingkat perlindungan yang memadai untuk data pribadi (negara ketiga Inggris Raya). Adendum Regulasi Perlindungan Data Umum (GDPR) Inggris Raya mengonfirmasi bahwa SCC (sebagaimana diubah oleh IDTA) akan berlaku secara otomatis kapan saja bagi pelanggan saat menggunakan layanan AWS untuk mentransfer data pelanggan tunduk pada Regulasi Perlindungan Data Umum (GDPR) Inggris Raya (data pelanggan Inggris Raya) ke negara ketiga Inggris Raya. Sebagai bagian dari Adendum Regulasi Perlindungan Data Umum (GDPR) Inggris Raya di Persyaratan Layanan AWS, SCC (sebagaimana diubah oleh IDTA) akan berlaku secara otomatis kapan saja bagi pelanggan saat menggunakan layanan AWS untuk mentransfer data pelanggan Inggris Raya ke negara ketiga Inggris Raya
AWS dan Undang-Undang Perlindungan Data Federal Swiss
-
Bagaimana pelanggan dapat menggunakan AWS sesuai dengan Undang-Undang Perlindungan Data Federal Swiss?
AWS menawarkan Adendum Swiss untuk Adendum Pemrosesan Data AWS (“Adendum Swiss”) yang memasukkan komitmen AWS sebagai pemroses data berdasarkan Undang-Undang Perlindungan Data Federal Swiss (“FDPA”). Adendum Swiss adalah bagian dari Ketentuan Layanan AWS (lihat Bagian 1.14.4) dan berlaku secara otomatis ketika FDPA berlaku untuk penggunaan layanan AWS oleh pelanggan untuk memproses data pelanggan.
-
Bagaimana pelanggan dapat mentransfer data pelanggan sesuai dengan FDPA?
Adendum Swiss untuk Adendum Pemrosesan Data AWS yang merupakan bagian dari Ketentuan Layanan AWS (lihat Bagian 1.14.4), mencakup Klausul Kontrak Standar (“SCC”) yang diadopsi oleh Komisi Eropa dan diubah sebagaimana diwajibkan oleh Komisaris Perlindungan Data dan Informasi Federal Swiss. Adendum Swiss mengonfirmasi bahwa SCC (sebagaimana diubah oleh Adendum Swiss) akan berlaku secara otomatis setiap kali pelanggan menggunakan layanan AWS untuk mentransfer data pelanggan yang tunduk pada FDPA ke negara ketiga.
Kontak Layanan
-
Siapa yang harus saya hubungi jika memiliki pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR) dan AWS?
Sebaiknya pelanggan yang memiliki pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR) dapat menghubungi manajer akun AWS mereka terlebih dulu. Jika pelanggan mendaftar Enterprise Support, mereka juga dapat menghubungi Manajer Akun Teknis (TAM). TAM bekerja dengan Solutions Architect untuk membantu pelanggan mengidentifikasi kemungkinan risiko dan kemungkinan mitigasi. TAM dan tim akun juga dapat mengarahkan pelanggan dan Mitra APN ke sumber daya spesifik berdasarkan lingkungan dan kebutuhan mereka.AWS juga memiliki tim Perwakilan Dukungan Perusahaan, Konsultan Layanan Profesional, dan staf lain untuk membantu menjawab pertanyaan seputar Peraturan Perlindungan Data Umum (GDPR). Jika ada pertanyaan, Anda dapat menghubungi kami di sini.