Privacidade de dados na África do Sul

Visão geral

A Protection of Personal Information Act (PoPIA – Lei de proteção de informações pessoais) regula a coleta, o uso e o processamento de informações pessoais coletadas de uma pessoa física, identificável e viva, e nos casos pertinentes, uma pessoa jurídica identificável e existente na África do Sul. Ela define as circunstâncias para o processamento de informações pessoais. O Information Regulator of South Africa monitora e aplica, entre outras tarefas, a compatibilidade com a PoPIA.

Fluxo de dados entre fronteiras
A seção 72 da PoPIA permite a transferência de informações pessoais para fora da África do Sul sob as seguintes condições:

  • o terceiro que seja o destinatário das informações esteja sujeito a uma lei, a regras corporativas vinculantes ou a um contrato vinculante que forneça um nível adequado de proteção (conforme descrito na PoPIA);
  • o titular dos dados consinta com a transferência;
  • a transferência seja necessária para a execução de um contrato entre o titular dos dados e a parte responsável, ou para a implementação de medidas pré-contratuais adotadas em resposta à solicitação do titular dos dados; 
  • a transferência seja necessária para a conclusão ou execução de um contrato fechado em benefício do titular dos dados entre a parte ou o terceiro responsável; e 
  • a transferência seja feita em benefício do titular dos dados, conforme estipulado na PoPIA.
 
A AWS está atenta à sua privacidade e à segurança dos seus dados. Na AWS, a segurança começa na infraestrutura central. Criada especificamente para a nuvem e projetada para cumprir os requisitos mais rigorosos de segurança do mundo, nossa infraestrutura é monitorada 24 horas por dia, 7 dias por semana para garantir a confidencialidade, a integridade e a disponibilidade dos dados dos clientes. Os mesmos especialistas de segurança de dados que monitoram essa infraestrutura também criam e mantêm nossa ampla seleção de serviços de segurança inovadores, os quais podem ajudar a simplificar o cumprimento de seus próprios requisitos regulatórios e de segurança. Como cliente da AWS, independentemente do seu porte ou da sua localização, você herda todos os benefícios da nossa experiência, testados de acordo com as mais rigorosas estruturas de garantia de terceiros.
 
A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS de acordo com estruturas e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO 27001; ISO 27017; ISO 27018; PCI DSS Level 1; e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por avaliadores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.

Por exemplo, a certificação ISO 27018 é o primeiro código de práticas internacional que enfatiza a proteção de dados pessoais na nuvem. Ela é baseada no padrão de segurança de informações 27002 e oferece orientações para a implementação dos controles da ISO 27002 aplicáveis a informações de identificação pessoal (PII) processadas por provedores de serviços de nuvem pública. Isso demonstra aos clientes que a AWS tem um sistema de controles vigente que aborda especificamente a proteção da privacidade do conteúdo desses clientes.

Essas medidas técnicas e organizacionais abrangentes da AWS são consistentes o objetivo da PoPIA, que é a proteger as informações pessoais. Os clientes da AWS mantêm o controle sobre o próprio conteúdo que carregam nos produtos da AWS e são responsáveis por implementar medidas adicionais de segurança com base em suas necessidades específicas, inclusive classificação, criptografia, gerenciamento de acesso e credenciais de segurança para o conteúdo.

A AWS não tem visibilidade ou conhecimento quanto ao conteúdo que os clientes estão carregando nos produtos da AWS. Os clientes da AWS são essencialmente os responsáveis pela própria conformidade com a PoPIA e regulamentações relacionadas. O conteúdo desta página complementa os recursos de privacidade de dados existentes para ajudar a alinhar seus requisitos ao Modelo de responsabilidade compartilhada da AWS quando você armazena e processa dados pessoais usando produtos da AWS.

  • O termo “informações pessoais” significa informações relacionadas a uma pessoa física, identificável e viva, e nos casos pertinentes, uma pessoa jurídica identificável e existente incluindo, entre outros:

    • informações relacionadas à raça, gênero, sexo, gestação, situação conjugal, origem nacional, étnica ou social, cor, orientação sexual, idade, saúde física ou mental, bem-estar, deficiência, religião, consciência, credo, cultura, idioma e nascimento do indivíduo;
    • informações relacionadas à formação ou ao histórico médico, financeiro, criminal ou profissional do indivíduo;
    • qualquer número de identificação, símbolo, endereço de e-mail, endereço físico, número de telefone, informações de localização, identificador on-line ou outra atribuição específica do indivíduo;
    • as informações biométricas do indivíduo;
    • as opiniões, pontos de vista ou preferências pessoais do indivíduo;
    • correspondência enviada pelo indivíduo que seja de natureza implicitamente ou explicitamente particular ou confidencial, ou correspondência adicional que possa revelar o conteúdo da correspondência original;
    • os pontos de vista ou opiniões de outra pessoa sobre o indivíduo; e
    • o nome do indivíduo, caso apareça com outras informações pessoais relacionadas ao indivíduo ou caso a divulgação do próprio nome revele informações sobre o indivíduo.

  • De acordo com o modelo de responsabilidade compartilhada da AWS, os clientes da AWS retêm o controle do tipo de segurança que desejam implementar para proteger o próprio conteúdo, plataforma, aplicações, sistemas e redes, da mesma maneira como ocorreria em um datacenter local. Os clientes podem aproveitar as medidas e controles de segurança técnica e organizacional oferecidos pela AWS para gerenciar seus próprios requisitos de conformidade. Os clientes podem usar medidas conhecidas para proteger seus dados, como criptografia e autenticação multifator, além de recursos de segurança da AWS, como o AWS Identity and Access Management.

    Ao avaliar a segurança de uma solução em nuvem, é importante que os clientes entendam e façam a distinção entre:

    • Medidas de segurança implementadas e operadas pela AWS, a “segurança da nuvem”, e
    • Medidas de segurança implementadas e operadas pelo cliente, relacionadas à segurança do próprio conteúdo e aplicações do cliente que usam os produtos da AWS, a “segurança na nuvem”

  • Os clientes mantêm a propriedade e o controle sobre seu conteúdo e escolhem quais os serviços da AWS que processam, armazenam e hospedam esse conteúdo. A AWS não tem visibilidade sobre o conteúdo do cliente e não acessa ou usa o conteúdo do cliente, exceto para fornecer os serviços da AWS selecionados por um cliente ou quando necessário para cumprir a lei ou uma ordem judicial obrigatória.

    Os clientes que usam os serviços da AWS mantêm o controle sobre seu conteúdo no ambiente da AWS. Eles podem:

    • Determinar onde o conteúdo ficará localizado. Por exemplo, o tipo de ambiente de armazenamento e a região geográfica desse armazenamento.
    • Controlar o formato do conteúdo. Por exemplo: texto simples, mascarado, anonimizado ou criptografado, usando a criptografia disponibilizada pela AWS ou um mecanismo de criptografia de terceiros escolhido pelos clientes.
    • Gerenciar outros controles de acesso, como gerenciamento de identidade e acesso, e credenciais de segurança.
    • Controlar se serão usadas SSL, nuvem privada virtual e outras medidas de segurança de rede para evitar acesso não autorizado.

    Isso permite que os nossos clientes controlem todo o ciclo de vida do seu conteúdo na AWS e o gerenciam de acordo com as próprias necessidades específicas, incluindo classificação, controle de acesso, retenção e exclusão de conteúdo.

  • Os datacenters da AWS são criados em clusters em vários locais em todo o mundo. Chamamos esses clusters de datacenter em um determinado local de “região”.

    Os clientes da AWS escolhem uma ou mais regiões da AWS nas quais seu conteúdo será armazenado. Isso permite que clientes com requisitos geográficos específicos estabeleçam ambientes em locais de sua escolha.

    Os clientes podem replicar e fazer backup do conteúdo em mais de uma região, mas a AWS não move o conteúdo do cliente para uma região fora daquela escolhida por ele, exceto para fornecer serviços conforme solicitado pelos clientes ou para cumprir a legislação aplicável.

  • A estratégia de segurança de datacenters da AWS é montada com controles de segurança dimensionáveis e várias camadas de defesa que ajudam a proteger suas informações. Por exemplo, a AWS gerencia cuidadosamente possíveis riscos de inundação e atividade sísmica. Usamos barreiras físicas, guardas de segurança, tecnologia de detecção de ameaças e um processo detalhado de triagem para limitar o acesso aos datacenters. Fazemos backup dos nossos sistemas, testamos regularmente equipamentos e processos, e treinamos continuamente os funcionários da AWS para que estejam preparados para o inesperado.

    Para validar a segurança dos nossos datacenters, auditores externos executam testes em mais de 2.600 padrões e requisitos durante todo o ano. Esse exame independente ajuda a garantir que os padrões de segurança sejam atendidos ou superados de maneira consistente. Como resultado, as organizações com as regulamentações mais rígidas do mundo confiam na AWS para a proteção de seus dados.

    Saiba mais sobre como protegemos os datacenters da AWS estruturalmente fazendo um tour virtual »

  • Os clientes podem escolher usar uma região, todas as regiões ou qualquer combinação de regiões. Acesse a página de infraestrutura global da AWS para obter uma lista completa das regiões da AWS.

  • A infraestrutura da Nuvem AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. A escala da Amazon permite um volume de investimentos em vigilância e contramedidas de segurança consideravelmente maior que praticamente qualquer outra grande empresa pode se permitir. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os serviços da AWS e oferecem controles avançados aos clientes e parceiros do APN, incluindo controles de configuração de segurança, para processar dados pessoais. Mais detalhes sobre as medidas implementadas pela AWS para manter níveis consistentemente altos de segurança são apresentadas no whitepaper Visão geral dos processos de segurança da AWS.

    Além disso, a AWS oferece vários relatórios de conformidade de auditores externos, que testaram e verificaram nossa conformidade com diversas normas e regulamentos de segurança, incluindo a ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018. Para fornecer transparência sobre a eficácia dessas medidas, fornecemos acesso aos relatórios de auditoria de terceiros no AWS Artifact. Esses relatórios mostram aos nossos clientes e parceiros do APN, que podem atuar como controladores ou operadores de dados, que protegemos a infraestrutura subjacente que usam para armazenar e processar dados pessoais. Para mais informações, acesse nossos recursos de conformidade.

Recursos sobre privacidade de dados na África do Sul

Como usar a AWS no contexto do fatores sul-africanos relacionados a privacidade
Solicitações de informações sobre a Amazon
Amazon Web Services: visão geral dos processos de segurança
Perguntas frequentes sobre a ISO 27018 da AWS
Serviços de garantia de segurança da AWS
Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »