Centro do Regulamento Geral sobre a Proteção de Dados (RGPD)
Conformidade com o RGPD ao usar produtos da AWS
O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia protege o direito fundamental dos indivíduos da União Europeia à privacidade e à proteção de dados pessoais. O RGPD inclui requisitos robustos que elevam e harmonizam os padrões de proteção, segurança e conformidade dos dados. Consulte nossas Perguntas frequentes sobre o RGPD abaixo para obter informações.
Os clientes da AWS podem usar todos os produtos da AWS para processar dados pessoais (conforme definido no RGPD) que são transferidos por upload para os produtos da AWS em suas contas da AWS (dados do cliente) em conformidade com o RGPD. Além da nossa própria conformidade, a AWS está comprometida em oferecer produtos e recursos a seus clientes a fim de ajudá-los a cumprir os requisitos do RGPD aplicáveis às suas atividades. Novos recursos são lançados regularmente e a AWS disponibiliza mais de 500 recursos e produtos com foco na segurança e compatibilidade. Para obter mais informações sobre o que a AWS está fazendo, leia nosso blog How AWS is helping EU customers navigate the new normal for data protection (Como a AWS está ajudando os clientes da UE a navegar no novo normal para a proteção de dados).
Controle do cliente
Os clientes têm controle de seus dados de cliente. Com a AWS, os clientes podem:
- Determinar onde os dados do cliente serão armazenados, incluindo o tipo de armazenamento e a região geográfica desse armazenamento.
- Escolher o estado seguro dos dados do cliente. Oferecemos a nossos clientes criptografia robusta aos seus dados em trânsito ou em repouso, bem como a opção de gerenciar suas próprias chaves de criptografia.
- Gerenciar o acesso aos seus dados e aos produtos e recursos da AWS por meio de usuários, grupos, permissões e credenciais controlados pelo cliente.
Transferências para fora do Espaço Econômico Europeu (EEE)
Os clientes da AWS podem continuar usando os produtos da AWS para transferir dados de clientes do EEE para países não pertencentes ao EEE que não receberam uma decisão de adequação da Comissão Europeia (incluindo os Estados Unidos) em conformidade com o RGPD. Na AWS, nossa maior prioridade é a proteção dos dados dos clientes. Portanto, implementamos rigorosas medidas técnicas e organizacionais para proteger o sigilo, a integridade e a disponibilidade, independentemente da região da AWS selecionada pelo cliente. Sabemos que a transparência é importante para nossos clientes. Listamos os produtos da AWS que envolvem a transferência de dados do cliente em nossa página da Web de recursos de privacidade.
Conforme o cenário regulatório e legislativo evolui, sempre trabalharemos para garantir que nossos clientes possam continuar aproveitando os benefícios dos produtos da AWS onde quer que operem. Consulte a atualização do nosso cliente sobre o Privacy Shield UE-EUA e as publicações do nosso blog sobre o Adendo Suplementar ao Adendo de Processamento de Dados da AWS e o Código de Conduta para Proteção de Dados da CISPE para obter informações adicionais.
Recursos do RGPD
Perguntas frequentes sobre o RGPD
Visão geral e noções básicas do RGPD
-
O que é RGPD?
O Regulamento Geral de Proteção de Dados (GDPR) é uma nova lei de privacidade europeia que entrou em vigor em 25 de maio de 2018. O GDPR substituiu a Diretiva de Proteção de Dados da UE, também conhecida como Diretiva 95/46/EC, e tem como objetivo unificar as leis de proteção de dados em toda a União Europeia ao aplicar uma única lei de proteção de dados vinculativa em cada um dos estados-membros.
-
A quem o RGPD se aplica?
O RGPD aplica-se a todas as organizações estabelecidas na UE e às organizações, quer estejam estabelecidas ou não na UE, que processam dados pessoais de indivíduos da UE para fins de oferta de mercadorias ou serviços a titulares de dados na UE ou para fins de monitoramento de comportamento ocorrido dentro da UE. Dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou identificável, incluindo nomes, endereços de e-mail e números de telefone.
-
A AWS é uma processadora de dados ou uma controladora de dados nos termos do RGPD?
A AWS atua como processadora e controladora de dados nos termos do RGPD.
- A AWS como processadora de dados: quando os clientes usam os produtos da AWS para processar dados pessoais no conteúdo que transferem por upload para os produtos da AWS, a AWS atua como processadora de dados. Os clientes podem usar os controles disponíveis em produtos da AWS, incluindo os controles de configuração de segurança, para processar dados pessoais. Nessas circunstâncias, o cliente pode atuar como um controlador de dados ou como o próprio processador de dados, e a AWS atua como processadora ou subprocessadora de dados. A AWS oferece um Anexo de processamento de dados da AWS (DPA da AWS) compatível com o GDPR que incorpora os compromissos da AWS como processador de dados. O DPA da AWS com cláusulas contratuais padrão é parte dos Termos de serviço da AWS e está disponível automaticamente para todos os clientes que atendem aos requisitos do RGPD.
- A AWS como controladora de dados: ao coletar dados pessoais e determinar os objetivos e os meios de processamento para esses dados pessoais, por exemplo, quando armazena informações da conta, como endereços de e-mail fornecidos durante o registro da conta, para fins de registro da conta, administração, acesso a serviços ou informações de contato para fornecer assistência por meio de atividades de suporte ao cliente, a AWS atua como controladora de dados. Consulte a Notificação de Privacidade da AWS para obter detalhes sobre como a AWS processa dados pessoais na condição de controladora.
-
O que são as Cláusulas Contratuais Padrão (SCCs)?
As SCCs são um mecanismo de transferência de dados pré-aprovado pelo GDPR, aplicável em todos os Estados Membros da UE, que permite a transferência legal de dados pessoais para países fora do Espaço Econômico Europeu que não receberam uma decisão de adequação da Comissão Europeia (países terceiros).
-
Como a AWS incorpora as SCCs ao DPA GDPR da AWS com os clientes?
Os Termos de Serviço da AWS incluem as SCCs adotadas pela Comissão Europeia (CE) em junho de 2021, e o DPA da AWS confirma que as SCCs serão aplicáveis automaticamente sempre que um cliente da AWS usar os serviços da AWS para transferir dados do cliente para países fora do Espaço Econômico Europeu que não tenham recebido uma decisão de adequação da CE (países terceiros). Como parte dos Termos de Serviço da AWS, as novas SCCs serão aplicadas automaticamente sempre que um cliente usar os serviços da AWS para transferir dados do cliente para países terceiros. Os poucos clientes que assinaram um DPA da AWS podem continuar a confiar nesse DPA da AWS porque as novas SCCs nos Termos de Serviço da AWS substituem a versão anterior das SCCs. Os clientes podem, portanto, ficar tranquilos com o fato de que quaisquer dados de clientes transferidos para países terceiros usando os serviços da AWS têm o mesmo alto nível de proteção que os dados de clientes recebem no EEE. Para obter mais informações, consulte a postagem do blog sobre a implementação das novas Cláusulas Contratuais Padrão.
Conformidade com AWS e GDPR seguindo a norma Schrems II e recomendações EDPB
-
O que é a decisão Schrems II e as recomendações do CEPD?
Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) emitiu uma decisão referente à transferência de dados pessoais de indivíduos da UE para fora do EEE (Schrems II). No Schrems II, o TJUE decidiu que o Privacy Shield entre U e EUA não era mais um mecanismo válido para transferir dados pessoais do EEE para os EUA. No entanto, na mesma decisão, o TJUE confirmou que as empresas podem (sujeito à implementação de medidas complementares, se necessário) continuar usando as cláusulas contratuais padrão como um mecanismo válido para a transferência de dados pessoais para fora do EEE. O Comitê Europeu para a Proteção de Dados (CEPD), um órgão europeu composto por representantes das autoridades nacionais de proteção de dados, desde então forneceu uma lista não exaustiva de medidas complementares em suas “Recomendações 01/2020 relativas às medidas complementares aos instrumentos de transferência para assegurar o cumprimento do nível de proteção dos dados pessoais da UE” (Recomendações do CEPD).
As Recomendações do CEPD fornecem aos exportadores de dados exemplos de medidas complementares que podem ser implementadas. Consulte a pergunta frequente “Posso continuar usando os produtos da AWS seguindo a decisão Schrems II?” abaixo para obter detalhes sobre os recursos de transferência de dados da AWS.
-
Posso continuar usando os produtos da AWS seguindo a decisão Schrems II?
Sim, os clientes da AWS podem continuar usando os produtos da AWS para transferir dados do cliente da Europa para países fora do EEE que não receberam uma decisão de adequação da Comissão Europeia. A decisão Schrems II validou o uso de cláusulas contratuais padrão (SCCs) como um mecanismo para transferência de dados de clientes para fora do EEE, e os clientes da AWS podem continuar confiando nas SCCs para qualquer transferência de dados de clientes para fora do EEE em compatibilidade com o RGPD.
- Local de processamento. Os clientes selecionam a região da AWS na qual seus dados de cliente serão armazenados. Uma visão geral das regiões da AWS disponíveis pode ser encontrada em Regiões e zonas de disponibilidade. A AWS não processará dados do cliente fora da região da AWS selecionada pelo cliente, a menos que seja necessário para o propósito de fornecer os produtos da AWS iniciados pelo cliente, ou conforme necessário para cumprir a lei ou uma ordem vinculativa de um órgão governamental. Consulte nossa página da Web de recursos de privacidade para saber mais sobre transferências de dados como parte dos produtos da AWS.
- Subprocessadores. A AWS pode usar subprocessadores, ou seja, afiliadas da AWS ou terceiros, para auxiliar no processamento de dados do cliente, para cumprir nossas obrigações com os clientes segundo o DPA da AWS ou para fornecer serviços em nosso nome. Consulte a pergunta frequente “A AWS usa subprocessadores para processar dados de clientes?” abaixo para obter detalhes.
- Ferramentas de transferência. Uma vez que a decisão Schrems II validou o uso de SCCs como um mecanismo de transferência de dados para países fora do EEE que não receberam uma decisão de adequação da Comissão Europeia, nossos clientes poderão continuar contando com as SCCs incluídas no DPA da AWS se optarem por transferir seus dados para fora do EEE em compatibilidade com o RGPD.
- Medidas complementares.
- Controle do cliente. Os clientes têm propriedade e controle sobre seus dados de cliente a todo momento por meio de ferramentas simples, mas eficazes, que permitem determinar onde os dados do cliente serão armazenados, proteger os dados do cliente em trânsito e em repouso e gerenciar o acesso do usuário aos seus recursos da AWS e modificar, excluir e recuperar dados de cliente.
- Medidas técnicas e organizacionais. A AWS implementa controles e processos técnicos e físicos sofisticados e responsáveis projetados para impedir o acesso não autorizado ou a divulgação de dados do cliente (visite a página da Web de Conformidade da AWS para obter mais informações). Também fornecemos uma série de serviços de gerenciamento de chaves e criptografia avançada (incluindo serviços que permitem aos clientes gerenciar suas próprias chaves) que os clientes podem usar para proteger seus dados de cliente em trânsito e em repouso; os dados de cliente criptografados tornam-se inacessíveis sem as chaves de descriptografia aplicáveis. Independentemente de os dados do cliente serem criptografados ou não, sempre trabalharemos atentamente para proteger os dados do cliente de qualquer acesso não autorizado.
- Solicitações de órgãos de aplicação da lei. A AWS tem processos internos para lidar com solicitações que recebemos de órgãos de aplicação da lei. Quando recebemos uma solicitação de dados de clientes de órgãos de aplicação da lei, nós a analisamos cuidadosamente para garantir a precisão e verificar se é apropriada e se está em conformidade com todas as leis aplicáveis. A menos que seja legalmente proibida de fazer isso, a AWS notificará os clientes antes de divulgar os dados, para que eles possam tomar outras medidas para buscar proteção contra divulgação. No Supplementary Addendum to the AWS DPA (Anexo complementar), a AWS firma compromissos contratuais reforçados em relação a lidar com solicitações governamentais de dados de clientes, incluindo o compromisso de (i) fazer todos os esforços razoáveis para redirecionar qualquer órgão governamental que solicite dados de clientes para o cliente correspondente, (ii) notificar imediatamente a solicitação ao cliente se permitido por lei a fazê-lo (incluindo fazer todos os esforços razoáveis e legais para obter uma isenção de proibição, se necessário), (iii) contestar qualquer solicitação ampla ou inadequada, incluindo quando a solicitação diferir da legislação da UE e (iv) se, após esgotar as etapas descritas acima, a AWS ainda continuar obrigada a divulgar dados do cliente em resposta a uma solicitação governamental, divulgar apenas a quantidade mínima de dados do cliente necessária para atender à solicitação.
- Medidas contratuais. A AWS assume diversos compromissos contratuais com as medidas descritas acima, que estão expressas no DPA da AWS e no Anexo Complementar. O DPA da AWS e o Anexo Complementar incluem compromissos contratuais da AWS referentes (1) à seleção do cliente das regiões da AWS nas quais os dados do cliente são armazenados e processados, (2) às medidas técnicas e organizacionais que a AWS implementou para proteger a infraestrutura da AWS e às medidas organizacionais técnicas que os clientes podem optar por aplicar para proteger seus dados de cliente, (3) às medidas da AWS para proteger os dados do cliente e informar o cliente em caso de uma solicitação de divulgação de dados de um órgão governamental, e (4) à capacidade da AWS de cumprir suas obrigações estabelecidas no DPA da AWS em conformidade com a legislação aplicável em um terceiro país no qual os dados do cliente sejam processados. O Anexo Complementar também aborda (5) os direitos legais dos indivíduos de reivindicar indenização em caso de violação de seus direitos concedidos pelo RGPD.
- Local de processamento. Os clientes selecionam a região da AWS na qual seus dados de cliente serão armazenados. Uma visão geral das regiões da AWS disponíveis pode ser encontrada em Regiões e zonas de disponibilidade. A AWS não processará dados do cliente fora da região da AWS selecionada pelo cliente, a menos que seja necessário para o propósito de fornecer os produtos da AWS iniciados pelo cliente, ou conforme necessário para cumprir a lei ou uma ordem vinculativa de um órgão governamental. Consulte nossa página da Web de recursos de privacidade para saber mais sobre transferências de dados como parte dos produtos da AWS.
-
A AWS usa subprocessadores para processar dados do cliente?
Sim, a AWS pode usar três tipos de subprocessadores: (1) entidades da AWS que fornecem a infraestrutura na qual os produtos da AWS são executados; (2) entidades da AWS que oferecem suporte a produtos específicos da AWS que podem exigir que essas entidades processem os dados dos clientes; e (3) terceiros que a AWS contratou para fornecer atividades de processamento para serviços específicos da AWS. A página da Web de subprocessadores da AWS fornece mais informações sobre os subprocessadores que a AWS contrata de acordo com o DPA da AWS, para fornecer atividades de processamento de dados do cliente em nome dos clientes. Os subprocessadores relevantes para um cliente individual dependerão da região da AWS selecionada pelo cliente e/ou dos serviços específicos da AWS que o cliente usa.
-
Como a AWS ajuda os clientes quando eles fazem avaliações de transferência de dados?
O whitepaper da AWS intitulado Exploração da conformidade com o RGPD na AWS oferece informações sobre os serviços e recursos que a AWS oferece aos clientes para ajudá-los na realização de avaliações de transferência de dados em relação à decisão Schrems II, além das subsequentes recomendações do Conselho Europeu de Proteção de Dados. O documento também descreve as principais medidas complementares adotadas e disponibilizadas pela AWS para proteger dados do cliente.
-
Como comprovo para uma autoridade de proteção de dados que o uso que faço dos serviços da AWS está em conformidade com o RGPD?
A AWS oferece informações úteis aos clientes, incluindo vários relatórios de conformidade de auditores externos que verificaram nossa conformidade com diversos padrões e regulamentos de segurança a fim de comprovar os altos níveis de conformidade que a AWS mantém em sua infraestrutura. Esses relatórios mostram aos nossos clientes que estamos protegendo os dados que eles optam por processar na AWS. Alguns exemplos disso incluem a conformidade da AWS e os padrões ISO 27001, 27017 e 27018. A ISO 27018 contém controles de segurança dedicados à proteção de dados dos clientes.
A AWS também é compatível com o Código de conduta da CISPE para proteção de dados. Mais informações sobre o Código de Conduta da CISPE podem ser encontradas no tópico de Perguntas frequentes abaixo, “A AWS está em conformidade com o Código de Conduta específico para serviços de infraestrutura na nuvem aprovado pelo RGPD?”
-
A AWS adere ao Código de conduta da CISPE aprovado pelo RGPD e específico para serviços de infraestrutura em nuvem?
Sim. Em junho de 2023, 107 serviços da AWS estavam em conformidade com o Código de Conduta de Proteção de Dados do Cloud Infrastructure Services Providers in Europe (CISPE – Provedores de serviços de infraestrutura de nuvem da Europa). A CISPE é uma aliança de empresas líderes em computação em nuvem que atende milhões de clientes europeus. O Código de Conduta para Proteção de Dados da CISPE (Código da CISPE) é o primeiro código de conduta pan-europeu para proteção dos dados centrado em serviços de infraestrutura em nuvem. O Código da CISPE foi aprovado pelo Conselho Europeu de Proteção de Dados, atuando em nome das 27 autoridades de proteção de dados em toda a Europa, e foi formalmente adotado pela Autoridade Francesa de Proteção de Dados (CNIL), atuando como a principal autoridade supervisora. Em 2017, a AWS anunciou sua conformidade com uma versão anterior do Código da CISPE.
O Código da CISPE ajuda os clientes a garantir que seu provedor de serviços de infraestrutura de nuvem ofereça garantias operacionais adequadas para demonstrar conformidade com o RGPD e proteger os dados dos clientes. Alguns dos principais benefícios do Código da CISPE incluem:
- Com foco na infraestrutura da nuvem: esclarecimento da função do provedor de serviços de infraestrutura em nuvem no RGPD em relação ao processamento de dados do cliente, ou seja, quaisquer dados pessoais processados em nome do cliente usando o serviço de infraestrutura em nuvem.
- Dados na Europa: requer que os provedores de serviços de infraestrutura em nuvem forneçam aos clientes a opção de selecionar serviços que armazenam e processam dados de clientes inteiramente dentro do Espaço Econômico Europeu (EEE).
- Privacidade de dados: o Código da CISPE garante às organizações que seus provedores de serviços de infraestrutura em nuvem atendem aos requisitos aplicáveis aos dados pessoais processados em seu nome (dados do cliente) nos termos do RGPD.
O Certificado de Conformidade que indica o status de conformidade da AWS está disponível no Registro Público da CISPE. Os serviços da AWS listados foram verificados de forma independente, estando em conformidade com o Código CISPE. O processo de verificação foi conduzido pela Ernst & Young CertifyPoint (EY CertifyPoint), um órgão de monitoramento independente, reconhecido globalmente e credenciado pela CNIL.
Medidas técnicas e organizacionais
-
Como o RGPD afeta o modelo de responsabilidade compartilhada da AWS?
O RGPD não altera o modelo de responsabilidade compartilhada da AWS, que continua relevante para os clientes. O modelo de responsabilidade compartilhada é uma abordagem útil para ilustrar as diferentes responsabilidades da AWS (como processadora ou subprocessadora de dados) e dos clientes (como controladores ou processadores de dados) nos termos do RGPD.
No modelo de responsabilidade compartilhada, a AWS é responsável por proteger a infraestrutura subjacente que oferece suporte aos produtos da AWS (“Segurança “DA” nuvem”); e os clientes, que atuam como controladores ou processadores de dados, são responsáveis por quaisquer dados pessoais que transfiram por upload para produtos da AWS (“Segurança “NA” nuvem”).
Responsabilidade da “Segurança da nuvem” da AWS: a AWS é responsável por proteger a infraestrutura global que executa todos os produtos da AWS. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os produtos da AWS e oferecem controles avançados aos clientes, incluindo controles de configuração de segurança, para processar o conteúdo dos clientes. A AWS oferece vários relatórios de conformidade de auditores externos que verificaram a nossa compatibilidade com diversos padrões e regulamentos de segurança de computadores (para obter mais informações, visite a página da Web de Conformidade da AWS). Esses relatórios mostram aos nossos clientes que estamos protegendo os dados de cliente. Alguns exemplos de conformidade da AWS incluem os padrões ISO 27001, 27017 e 27018. A ISO 27018 contém controles de segurança dedicados à proteção de dados dos clientes.
Responsabilidade da “Segurança na nuvem” do cliente: os clientes da AWS são responsáveis por arquitetar e proteger a aplicação e as soluções que optam por implantar nos produtos da AWS. Os clientes da AWS também são responsáveis por configurar os produtos da AWS de forma a proteger o sigilo, a integridade e as necessidades de segurança dos dados de seus clientes. As responsabilidades específicas dos clientes para proteger seus dados de cliente variam de acordo com os produtos da AWS que eles escolhem usar e como esses produtos são integrados aos ambientes de TI dos clientes. Os clientes da AWS têm visibilidade e controle sobre seus dados de cliente e podem implementar controles de segurança flexíveis com base no sigilo do tipo específico de dados do cliente. Os clientes podem fazer isso utilizando suas próprias medidas e ferramentas de segurança ou utilizando as medidas e ferramentas de segurança disponibilizadas pela AWS ou outros fornecedores. Dessa forma, os clientes podem implementar camadas adicionais de segurança para dados mais sigilosos do cliente.
A AWS disponibiliza produtos, ferramentas e serviços que os clientes podem usar para arquitetar e proteger suas aplicações e soluções e que podem ser implantados para ajudar a lidar com os requisitos do RGPD, incluindo:
- O AWS Identity and Access Management (IAM) permite que as organizações gerenciem com segurança o acesso aos produtos e recursos da AWS. Ao usar o IAM, os clientes podem criar e gerenciar usuários e grupos da AWS, bem como usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
- O AWS CloudTrail permite que as organizações registrem, monitorem continuamente e retenham informações sobre a atividade da conta relacionada a ações na AWS, o que simplifica a análise de segurança, o rastreamento de alteração de recursos e a resolução de problemas (por padrão, o AWS CloudTrail é habilitado para todas as contas da AWS).
- O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger contas e workloads da AWS. O serviço monitora atividades que podem indicar um possível comprometimento de uma conta, como chamadas de API incomuns ou implantações potencialmente não autorizadas. O GuardDuty também detecta instâncias possivelmente comprometidas ou atividades de reconhecimento por invasores.
- O Amazon Macie é uma ferramenta de machine learning para ajudar na descoberta e na classificação de dados pessoais armazenados no Amazon S3.
Consulte nosso whitepaper, Navegar pela compatibilidade com o RGPD na AWS, para obter mais detalhes sobre como usar os recursos da AWS em conformidade com o RGPD.
-
Os parceiros da AWS oferecem produtos e serviços para ajudar na conformidade com o RGPD?
Você pode procurar “RGPD” no AWS Partner Solutions Finder para ajudar a encontrar ISVs, MSPs e parceiros de SI que tenham produtos e serviços que auxiliem na compatibilidade com o RGPD. Os clientes também podem procurar soluções “RGPD” no AWS Marketplace.
-
A AWS oferece serviços profissionais para ajudar na conformidade com o RGPD?
Sim. A equipe de serviços de garantia de segurança da AWS tem uma série de atividades para ajudar os clientes em sua jornada de conformidade com o RGPD. Essa equipe de profissionais de conformidade certificados pelo setor ajuda os clientes a alcançar, manter e automatizar a conformidade na nuvem, unindo os padrões de conformidade aplicáveis aos recursos e funcionalidades específicos do produto da AWS. Mais detalhes sobre como os consultores do AWS Professional Services estão ajudando os clientes podem ser encontrados aqui.
-
Como o AWS Support pode me ajudar em minha jornada rumo à conformidade com o RGPD?
Os clientes podem usar o AWS Support para receber orientação técnica que os ajude na jornada de conformidade com o RGPD. Como parte dessa atividade, temos equipes de engenheiros de suporte de nuvem e gerentes de conta técnicos (TAMs) treinados para ajudar a identificar e reduzir riscos de conformidade. O nível de suporte que a AWS oferece depende do plano do AWS Support escolhido pelos clientes. Os clientes que procuram entender como o AWS Premium Support pode ajudá-los podem encontrar mais informações no AWS Support Center, disponível por meio do Console de Gerenciamento da AWS, usando os detalhes de contato especificados no contrato de Enterprise Support firmado com a AWS ou visitando a página da Web do AWS Support. Os clientes com Enterprise Support devem entrar em contato com seu TAM em caso de dúvidas relacionadas ao RGPD.
Os clientes podem achar os dois programas a seguir úteis para buscar a conformidade com o RGPD:
- Análise de operações na nuvem: disponível para clientes do AWS Enterprise Support, este programa foi criado para ajudar a identificar falhas na abordagem das operações na nuvem. Com origem em um conjunto de melhores práticas operacionais obtidas da experiência da AWS com um grande número de clientes representativos, o programa fornece uma análise das operações na nuvem e das práticas de gerenciamento associadas, o que pode ajudar as organizações em sua jornada rumo à conformidade com o GDPR. O programa usa uma abordagem com quatro pilares, priorizando a preparação, o monitoramento, a operação e a otimização de sistemas baseados na nuvem para alcançar a excelência operacional.
- Análise Well-Architected: este programa permite que as organizações comparem sua arquitetura com as práticas recomendadas da AWS e criem arquiteturas seguras, confiáveis, econômicas e de alta performance. Com as análises Well-Architected, os clientes também podem compreender onde estão os riscos em sua arquitetura e abordá-los antes que as aplicações entrem em produção.
-
Como a AWS pode ajudar os clientes a cumprir suas obrigações nos termos do RGPD, em relação às notificações de violações de dados pessoais?
A AWS tem um processo de monitoramento de incidentes de segurança e notificação de violação de dados em vigor e notificará os clientes sobre violações de segurança da AWS sem atraso indevido e de acordo com o DPA da AWS. Além disso, a AWS oferece aos clientes diversas ferramentas para compreender quem tem acesso a seus recursos, bem como o momento e o local do acesso. Uma dessas ferramentas é o AWS CloudTrail que oferece governança, conformidade, auditoria operacional e auditoria de risco para contas da AWS. Com o AWS CloudTrail, os clientes podem registrar, monitorar continuamente e reter informações sobre a atividade da conta relacionada às ações executadas na infraestrutura da AWS. Dessa forma, as organizações compreendem o que ocorre em sua infraestrutura na AWS e podem tomar medidas imediatas em caso de atividades incomuns. Para obter mais informações sobre outras ferramentas de segurança que a AWS oferece aos clientes para ajudá-los a cumprir suas obrigações como controladores de dados no RGPD, visite a página da Web de Segurança na Nuvem AWS.
-
Como a AWS me ajuda a proteger meus dados de cliente contra ataques cibernéticos?
A AWS oferece aos clientes e parceiros da AWS várias ferramentas para proteger dados de clientes e ajudar a proteger contra ataques cibernéticos. Uma dessas ferramentas é o AWS Shield. O AWS Shield é um serviço gerenciado de proteção contra ataques distribuídos de negação de serviço (DDoS) que mantém a segurança de sites e aplicações operados na AWS. O AWS Shield Standard é disponibilizado gratuitamente e oferece detecção sempre ativa e mitigações em linha automáticas que podem minimizar o tempo de inatividade e a latência dos aplicativos. Para obter níveis mais altos de proteção contra ataques direcionados a aplicações Web executadas na AWS que usam recursos dos serviços ELB, Amazon CloudFront e Amazon Route 53, os clientes e os parceiros da AWS podem assinar o AWS Shield Advanced. A AWS também publica e atualiza frequentemente a publicação Práticas recomendadas para resiliência contra DDoS, que ajuda os clientes a usar a AWS para criar aplicações resistentes a ataques de DDoS.
Outras ferramentas da AWS para ajudar a proteger dados de clientes contra ataques cibernéticos incluem:
- O AWS Identity and Access Management (IAM) permite que as organizações gerenciem com segurança o acesso aos produtos e recursos da AWS. Ao usar o IAM, os clientes e parceiros da AWS podem criar e gerenciar usuários e grupos da AWS, bem como usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
- O AWS Config permite que clientes e parceiros da AWS habilitem regras predefinidas que ajudam a garantir que os recursos da AWS estejam devidamente configurados e em conformidade.
- O AWS CloudTrail permite que as organizações registrem, monitorem continuamente e retenham informações sobre a atividade da conta relacionada a ações na AWS, o que simplifica a análise de segurança, o rastreamento de alteração de recursos e a resolução de problemas (por padrão, o AWS CloudTrail é habilitado para todas as contas da AWS).
- O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger contas e workloads da AWS. O serviço monitora atividades que podem indicar um possível comprometimento de uma conta, como chamadas de API incomuns ou implantações potencialmente não autorizadas. O GuardDuty também detecta instâncias possivelmente comprometidas ou atividades de reconhecimento por invasores.
-
Quais ferramentas estão disponíveis para me ajudar a identificar dados pessoais em meu conteúdo na AWS?
O Amazon Macie é um serviço de segurança e privacidade de dados totalmente gerenciado que usa machine learning e correspondência de padrões para descobrir e proteger seus dados pessoais na AWS. À medida que as organizações gerenciam volumes crescentes de dados, identificar e proteger seus dados pessoais em escala pode se tornar cada vez mais complexo, caro e demorado. O Amazon Macie automatiza a descoberta de dados pessoais em escala e reduz o custo da proteção de seus dados. O Macie fornece automaticamente um inventário de buckets do Amazon S3, incluindo uma lista de buckets não criptografados, buckets acessíveis ao público e buckets compartilhados com as contas da AWS, além dos definidos por você no AWS Organizations. Em seguida, o Macie aplica técnicas de machine learning e de correspondência de padrões aos buckets selecionados para identificar e alertar sobre dados pessoais.
O Amazon Macie é certificado por padrões elogiados internacionalmente, como a ISO 27017, para segurança na nuvem, e a ISO 27018, para privacidade na nuvem. Além disso, os clientes e parceiros da AWS podem usar o Macie para monitorar continuamente o acesso a seus dados a fim de detectar atividade suspeita com base em padrões de acesso.
-
Como posso controlar o acesso a dados pessoais dentro do meu conteúdo na AWS?
Para ajudar os clientes a ter conformidade com o RGPD, a AWS tem diversas ferramentas para controlar o acesso a dados pessoais em seu conteúdo na AWS. Essas ferramentas incluem:
- Segurança por padrão significa que os serviços da AWS são projetados para serem seguros por padrão. Se a configuração padrão for usada, o acesso aos recursos será limitado apenas ao proprietário da conta e ao administrador root.
- O AWS Identity and Access Management (IAM) permite que os clientes gerenciem com segurança o acesso aos produtos e recursos da AWS. Ao usar o IAM, as organizações podem criar e gerenciar usuários e grupos da AWS e usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
- O AWS Multi-Factor Authentication adiciona uma camada extra de proteção ao nome do usuário e à senha da conta da AWS. A AWS oferece aos clientes a opção de dispositivos com MFA virtuais e de hardware.
- O AWS Directory Service permite aos clientes a integração e a federação a diretórios corporativos para reduzir a sobrecarga administrativa e melhorar a experiência do usuário final.
- O AWS Config permite que clientes habilitem regras predefinidas que ajudam a garantir que os recursos da AWS estejam devidamente configurados e em conformidade.
- O AWS CloudTrail permite que os clientes registrem, monitorem continuamente e retenham informações sobre a atividade da conta relacionada às ações em suas respectivas infraestruturas da AWS, o que simplifica a análise de segurança, o rastreamento de alterações de recursos e a solução de problemas (por padrão, o AWS CloudTrail é habilitado em todas as contas da AWS).
- O Amazon Macie usa machine learning para ajudar os clientes a evitar a perda de dados por meio da automação da descoberta, da classificação e da proteção de dados sigilosos na AWS. Esse serviço totalmente gerenciado monitora de forma contínua as atividades de acesso a dados para detectar anomalias e gera alertas detalhados quando identifica riscos de acesso não autorizado ou vazamentos de dados acidentais, como dados sigilosos disponibilizados acidentalmente por um cliente para acesso externo.
-
Como criptografar os dados do cliente na AWS para evitar o acesso não autorizado?
A AWS oferece aos clientes e aos parceiros da AWS a capacidade de adicionar uma camada extra de segurança aos dados ociosos na nuvem para ajudá-los a cumprir suas obrigações de segurança de processamento como controladores de dados nos termos do RGPD. As ferramentas de criptografia disponíveis na AWS incluem:
- Recursos de criptografia dos dados disponíveis nos produtos de armazenamento e banco de dados da AWS, como o Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS e Redshift
- Opções flexíveis de gerenciamento de chaves, como o AWS Key Management Service, que permitem optar entre o gerenciamento das chaves de criptografia pela AWS ou o controle completo sobre suas chaves
- Filas de mensagens criptografadas para transmissão de dados sigilosos usando criptografia do lado do servidor (SSE) para o Amazon SQS
- Armazenamento de chaves criptográficas baseadas em hardware dedicado usando o AWS CloudHSM, que permite que os clientes cumpram requisitos de conformidade
Além disso, a AWS disponibiliza aos clientes e parceiros da AWS APIs para integrar criptografia e proteção de dados a qualquer serviço que desenvolvam ou implantem em um ambiente da AWS. -
Que serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do RGPD?
A AWS disponibiliza recursos e serviços específicos que ajudam os clientes a atender aos requisitos do RGPD:
Controle de acesso: permite que somente administradores, usuários e aplicações com autorização acessem os recursos da AWS
- Autenticação multifator (MFA)
- Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
- Autenticação de solicitação de APIs
- Restrições geográficas
- Acesso temporário a tokens por meio do AWS Security Token Service
Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS
- Gerenciamento e configuração de ativos com o AWS Config
- Auditoria de conformidade e análise de segurança com o AWS CloudTrail
- Identificação de desafios de configuração por meio do AWS Trusted Advisor
- Registro em log de acesso detalhado refinado a objetos do Amazon S3
- Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
- Verificações e ações de configuração baseada em regras com o AWS Config Rules
- Filtragem e monitoramento de acesso HTTP a aplicações com funções do AWS WAF no AWS CloudFront
Criptografia: criptografe dados na AWS
- Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
- Gerenciamento centralizado de chaves (por região da AWS)
- Túneis IPsec na AWS com gateways de VPN
- Módulos HSM dedicados na nuvem com o AWS CloudHSM
Framework de compatibilidade e padrões de segurança robustos: demonstramos conformidade com padrões internacionais rigorosos, como:
- ISO 27001 para medidas técnicas
- ISO 27017 para segurança na nuvem
- ISO 27018 para privacidade na nuvem
- SOC 1, SOC 2 e SOC 3, PCI DSS nível 1,
- Common Cloud Computing Controls Catalogue (C5) do BSI
- ENS nível Alto
AWS e o RGPD no Reino Unido
-
O RGPD ainda se aplica ao Reino Unido?
O RGPD é um regulamento da UE e, após o Brexit, não se aplica mais ao Reino Unido. O governo do Reino Unido incorporou os requisitos do RGPD na lei do Reino Unido como o “UK GDPR”.
-
Como os clientes podem usar a AWS em conformidade com o UK GDPR?
A AWS oferece um Adendo ao UK GDPR em conformidade com o UK GDPR ao DPA da AWS, que incorpora os compromissos da AWS como processador de dados de acordo com o UK GDPR. O Adendo do UK GDPR faz parte dos Termos de serviço da AWS e aplica-se automaticamente a todos os clientes que precisam de um contrato de processamento de dados para manter a conformidade com o UK GDPR.
-
Como os clientes podem transferir dados de clientes em conformidade com o UK GDPR?
O Adendo ao UK GDPR, que faz parte dos Termos de serviço da AWS, inclui os SCCs adotados pela CE e o adendo de transferência de dados internacional (IDTA) emitido pelo regulador de proteção de dados do Reino Unido (o Information Commissioners Office). O IDTA altera os SCCs para garantir que estes constituam medidas de proteção apropriadas sob o UK GDPR para transferências de dados internacionais a países fora do Reino Unido que não foram reconhecidos como capazes de fornecer um nível adequado de proteção de dados pessoais (países fora do Reino Unido). O Adendo ao UK GDPR confirma que os SCCs (conforme alterados pelo IDTA) serão aplicados automaticamente sempre que um cliente usar os serviços da AWS para transferir dados de clientes sujeitos ao UK GDPR (dados de clientes do Reino Unido) para países fora do Reino Unido. Como parte do Adendo do UK GDPR nos Termos de serviço da AWS, os SCCs (conforme alterados pelo IDTA) serão aplicados automaticamente sempre que um cliente usar os serviços da AWS para transferir dados de clientes do Reino Unido para países fora do Reino Unido.
AWS e a Lei Federal de Proteção de Dados da Suíça
-
Como os clientes podem usar a AWS em conformidade com a Lei Federal de Proteção de Dados da Suíça?
A AWS oferece um Adendo Suíço ao Adendo de processamento de dados da AWS (o “Adendo Suíço”) que incorpora os compromissos da AWS como processadora de dados de acordo com a Lei Federal de Proteção de Dados da Suíça (a “FDPA”). O Adendo Suíço faz parte dos Termos de Serviço da AWS (consulte a Seção 1.14.4) e é automaticamente aplicável quando o FDPA está relacionado ao uso dos serviços da AWS por um cliente para processar dados do cliente.
-
Como os clientes podem transferir dados de clientes em conformidade com o FDPA?
O Adendo Suíço ao Adendo de processamento de dados da AWS, que faz parte dos Termos de Serviço da AWS (consulte a Seção 1.14.4), inclui as cláusulas contratuais padrão (as “SCCs”) adotadas pela Comissão Europeia e alteradas conforme exigido pelo Comissário Federal Suíço de Proteção de Dados e Informações. O Adendo Suíço confirma que as SCCs (conforme alteradas pelo Adendo Suíço) serão automaticamente aplicáveis sempre que um cliente usar os serviços da AWS para transferir dados do cliente sujeitos ao FDPA para terceiros países.
Contato
-
Com quem devo entrar em contato em caso de dúvidas a respeito do RGPD e da AWS?
Recomendamos que os clientes com dúvidas sobre o RGPD entrem em contato primeiro com seu gerente de conta da AWS. Se os clientes tiverem se cadastrado para o Enterprise Support, também poderão entrar em contato com seu Technical Account Manager (TAM – Gerente de conta técnico). Os TAMs trabalham com os arquitetos de soluções para ajudar os clientes a identificar possíveis riscos e mitigações. Os TAMs e as equipes de contas também podem indicar recursos específicos aos clientes e parceiros do APN, de acordo com seu ambiente e suas necessidades.Além disso, a AWS conta com equipes de representantes do Enterprise Support, consultores de serviços profissionais e outras equipes que podem ajudar a resolver dúvidas sobre o RGPD. Em caso de dúvidas, entre em contato conosco aqui.