巴西資料隱私權
概觀
《巴西一般資料保護法》("LGPD") 是巴西為保護個人資料所採用的主要規範。LGPD 適用於公共或民營部門的個人或法律實體對個人資料 (其定義為可被用於識別個人身分的資訊) 的處理,而無論其使用什麼處理方式或控制者或資料位於哪個國家,只要其滿足以下條件:1) 在巴西境內處理資料,2) 處理的目的在於提供產品或服務,或者在於處理身處巴西的個人的資料,又或者 3) 在巴西境內收集個人資料。
LGPD 建立了有關處理個人資料的原則和規範。組織必須能夠展現出採取措施以證明其符合個人資料保護規則的能力,包括此類措施的效能,從而促使制訂並實施適用於個人資料處理的合規性政策。
依照 LGPD,控制者和處理者 (見 LGPD 的定義) 須採取技術與管理措施,防止未經授權存取個人資料或者此類資料在意外或非法情形中被損壞、遺失、變更、流傳,或者任何形式的不當或非法處理。另外,LGPD 授予巴西國家資料保護機構 (“ANPD”) 建立由控制者和處理者實施的最低技術標準的權力。
AWS 十分重視您的隱私和資料安全。AWS 從核心基礎設施開始便重視安全。我們的基礎設施專為雲端進行客製化且符合全球最嚴格的安全規定,透過全天候的監控以確保客戶資料的機密性、完整性和可用性。監控此基礎設施的同一批世界級安全專家也負責建立和維護我們的各種創新安全服務,這些服務能協助您符合自身安全與監管需求。作為 AWS 客戶,無論您的規模大小或位於何處,都可以延續我們的經驗所帶來的一切優點,並根據最嚴格的第三方保證架構進行測試。
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級 和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
例如,ISO 27018 是第一個專為保護雲端個人資料而成立的國際性作業標準。它的根據是 ISO 資訊安全標準 27002,並提供公有雲端服務提供者處理的個人身分識別資訊 (PII) 適用的 ISO 27002 控制實作指導。其向客戶展現 AWS 擁有一套控制系統,專門處理其內容的隱私權保護。
這些全面的 AWS 技術和組織措施符合 LGPD 保護個人資料的目標。使用 AWS 服務的客戶可以保有其內容的控制權,並負責根據其特定需求而實作其他安全措施,包括內容分類、加密、存取管理和安全登入資料。
由於 AWS 無法看見或得知客戶上傳到其網路的內容,包括該資料是否需受 LGPD 規範,因此客戶最終要負責遵守 LGPD 和相關法規。當您使用 AWS 服務存放和處理個人資料時,此頁面的內容可補充現有資料隱私權資源的不足之處,協助您的個人需求與 AWS 共同的責任模型保持一致。
-
什麼是 LGPD?
《巴西一般資料保護法》("LGPD") 是巴西為保護個人資料所採用的主要規範,該法於 2020 年 9 月 18 日生效。
-
LGPD 適用於誰?
LGPD 適用於所有處理個人資料以向巴西居民提供商品或服務的組織,無論其是否在巴西成立。LGPD 還適用於在巴西收集或處理個人資料的組織。個人資料是與已識別或可識別自然人相關的任何資訊。
-
AWS 服務是否符合 LGPD 要求?
我們可以確認所有 AWS 服務的使用均符合 LGPD 的要求。這表示除了受益於 AWS 為維護服務安全而採取的所有措施之外,客戶還可以將 AWS 服務做為其 LGPD 合規計劃的關鍵部分進行部署。如需詳細資訊,請參閱我們的白皮書《導覽 AWS 上的 LGPD 合規》。
-
單個資料主體在哪裡可以找到有關行使 LGPD 權利的資訊?
2020 年 8 月 14 日,我們更新了隱私權聲明,以根據 LGPD 的要求說明我們作為資料控制者的政策,包括資料主體如何根據該法律行使其權利。
-
AWS 是否設有隱私權中心,並在其中全面描述 AWS 隱私權立場和賦予客戶的權利?
-
AWS 是否符合拉丁美洲其他國家/地區的資料保護要求?
AWS 持續為所有全球營運提供高標準的安全性和合規。我們就 GDPR 和 LGPD 提供的保護措施適用於世界各地的客戶,我們的客戶可以使用這些保護措施來確保遵守其當地的資料保護法律。
-
在保護客戶內容方面,客戶所扮演的角色為何?
根據 AWS 共同的責任模型,AWS 客戶可以控制要實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路,這與他們對現場資料中心內的應用程式的具體操作並無不同。LGPD 不會變更 AWS 共同的責任模型,這個模型仍然與專注於使用雲端運算服務的客戶和 APN 合作夥伴有關。共同的責任模型非常適合用來說明 AWS (做為資料處理者或子處理者) 與客戶或 APN 合作夥伴 (做為資料控制者或資料處理者) 在 LGPD 之下的不同責任。在共同的責任模型下,AWS 負責保護那些支援雲端的底層基礎設施,而做為資料控制者或資料處理者的客戶和 APN 合作夥伴則負責他們放在雲端中的任何個人資料的安全。客戶可以利用 AWS 提供的技術、組織安全措施以及各種控制功能來管理自己的合規需求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客戶也可使用熟悉的安全措施來保護他們的資料,例如加密和多重因素認證。
當評估雲端解決方案的安全時,客戶需要特別了解下列項目並分辨其中的差別:
- AWS 實作和操作的安全措施 –「雲端本身的安全」,以及
- 客戶實作和操作的安全措施,這與利用 AWS 服務的內容與應用程式安全有關 -「雲端內部的安全」
如需客戶可以採取的其他措施以及 AWS 提供的解決方案的詳細資訊,請參閱 AWS 安全學習網頁。 -
誰可以存取客戶內容?
客戶保有其客戶內容的擁有權和控制權,並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。除了提供客戶選擇的 AWS 服務或者需要遵守法律或具有約束力的法律命令之外,AWS 並無法查看客戶內容,也不會存取或使用客戶內容。
使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。他們可以:
- 決定要放置的位置,例如儲存環境的類型和儲存環境所處的地理位置。
- 控制該內容的格式,例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制。
- 管理其他存取控制,例如身份與存取管理以及安全登入資料。
- 控制是否使用 SSL、Virtual Private Cloud 和其他網路安全措施來防止未經授權的存取。
這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期,並根據自己的特定需求管理其內容,包括內容分類、存取控制、保留和刪除。
-
客戶內容將存放於何處?
AWS 資料中心以叢集的形式建置在全球不同位置。我們將位於特定位置的每個資料中心叢集稱為「區域」。
AWS 客戶選擇要將內容存放在哪個 AWS 區域。這讓有特定地理位置需求的客戶將環境建立在自己選擇的位置。
客戶可以在多個區域複寫和備份內容,但 AWS 不會將客戶內容移動到客戶所選區域之外,除非根據客戶要求提供服務或是為了遵守適用的法律。
-
AWS 如何保護其資料中心?
AWS 資料中心安全策略與可擴展的安全控制和多層防禦相結合,有助於保護您的資訊。例如,AWS 會謹慎地管理潛在的洪水和地震活動風險。我們使用實體屏障、安全保護、威脅偵測技術和深入篩選流程來限制對資料中心的存取。我們會備份自己的系統、定期測試設備和流程,並持續訓練 AWS 員工為突發事件做好準備。
為了驗證我們資料中心的安全,外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。這種獨立檢查有助於確保持續符合安全標準,甚至超越標準。因此,全世界最高度管制的組織都信任 AWS 可保護他們的資料。
觀看虛擬教學 ,進一步了解我們如何有計劃的保護 AWS 資料中心。
-
我可以使用哪些 AWS 區域?
客戶可以選擇使用任何一個區域、所有區域或是任意區域組合。如需 AWS 區域的完整清單,請瀏覽 AWS 全球基礎設施頁面。
-
AWS 採取了哪些安全措施來保護系統?
AWS 雲端基礎設施旨在建構現今最靈活且最安全的雲端運算環境。以 Amazon 的規模,在安全政策和對策方面所投入的資金遠高於幾乎任何其他大公司可自行負擔的程度。這個基礎設施是由執行 AWS 服務的硬體、軟體、網路和設施組成,可為客戶和 APN 合作夥伴提供強大的控制,包括安全組態控制,以便處理個人資料。如需 AWS 為了保持始終如一的高度安全而採取哪些措施的詳細資訊,請參閱 AWS 安全程序概觀白皮書。
AWS 也提供多個第三方稽核員的合規報告,這些稽核員已測試並驗證我們對於各項安全標準和法規的合規 (包括 ISO 27001、ISO 27017 和 ISO 27018)。為了對這些措施的有效性提供透明度,我們提供 AWS Artifact 內第三方稽核報告的存取權。這些報告向我們的客戶和可能做為資料控制者或資料處理者的 APN 合作夥伴,展現我們正在保護他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊,請參閱我們的合規資源。
-
AWS 已針對 LGPD 做了哪些準備?
AWS 合規、資料保護和安全專家與客戶密切合作,回答他們的問題,以及協助他們做好在 AWS 雲端執行工作負載的各項因應準備工作。這些團隊也會審查 AWS 服務對於符合 LGPD 要求的準備情況。此外,我們提供客戶一份資料處理合約,它將符合 LGPD 的各項要求。
AWS 持續為所有全球營運提供高標準的安全性和合規。安全性一直是我們的第一優先,也是真正的首要目標。 領先業界的安全性為我們多項國際公認的認證和鑑定奠定了基礎,證明我們符合各種嚴格的國際標準,包括:雲端安全的 ISO 27017、雲端隱私的 ISO 27018、SOC 1、SOC 2 和 SOC 3、PCI DSS 第 1 級、NIST FIPS 140-2、C5 等等。為了讓外界知道這些措施的有效性,我們透過 AWS 管理主控台為我們的客戶和 APN 合作夥伴提供第三方稽核報告。這些報告向我們的客戶和可能做為資料控制者或資料處理者的 APN 合作夥伴,展現我們正在保護他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊,請瀏覽我們的合規網頁。
-
AWS 為客戶提供哪些服務以協助其遵守 LGPD?
AWS 已經提供特定功能和服務來幫助客戶達到 LGPD 的要求:
資料存取控制:只允許已授權的管理員、使用者和應用程式存取 AWS 資源。
- Multi-Factor-Authentication (MFA)
- 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
- API 請求身份驗證
- 地理限制
- 透過 AWS Security Token Service 取得臨時存取字符
監控和記錄:取得 AWS 資源活動概觀。
- 使用 AWS Config 進行資產管理和組態
- 利用 AWS CloudTrail 執行合規稽核和安全性分析
- 透過 AWS Trusted Advisor 識別組態的挑戰
- 精細記錄對 Amazon S3 物件的存取
- 透過 Amazon VPC-FlowLogs 了解網路流量的詳細資訊
- 使用 AWS Config Rules 執行以規則為基礎的組態檢查和動作
- 利用 AWS CloudFront 中的 WAF 功能過濾和監控 HTTP 存取應用程式
加密:在 AWS 上加密資料。
- 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
- 集中管理的金鑰管理 (依 AWS 區域)
- 透過 VPN 閘道經由 IPsec 通道連入 AWS
- 使用 AWS CloudHSM 的雲端專用 HSM 模組
-
AWS 如何幫助資料控制者履行 LGPD 規定的資料洩漏通知義務?
AWS 為客戶和 APN 合作夥伴提供多種工具,以了解誰能在何時、何地使用他們的資源。其中一種工具是 AWS CloudTrail,它可以啟用 AWS 帳戶的管理、合規、操作稽核和風險稽核等功能。客戶可以使用 AWS CloudTrail 記錄、持續監控和保留其 AWS 基礎設施中與動作相關的帳戶活動資訊。這有助於組織了解他們的 AWS 基礎設施目前狀況,並立即對任何不尋常的活動採取行動。如需 AWS CloudTrail 的詳細資訊,以及 AWS 提供給客戶的其他安全工具以幫助他們根據 LGPD 履行作為資料控制者應盡的義務,請瀏覽我們的安全性網頁。
-
AWS 如何協助我保護個人資料免受網路攻擊?
AWS 為客戶和 APN 合作夥伴提供許多工具,用來保護他們的資料並協助防範網路攻擊。AWS Shield 就是這樣的工具。這是一種受管的分散式拒絕服務 (DDoS) 保護服務,用於保護在 AWS 上執行的網站和應用程式。使用 AWS Shield Standard 無須額外付費,它提供永遠啟用的偵測和自動化內嵌防禦功能,可最大限度地減少應用程式停機時間和延遲。如果需要針對在 AWS 上執行以及使用 ELB、Amazon CloudFront 和 Amazon Route 53 資源的 Web 應用程式提供更高一層的攻擊防護,客戶和 APN 合作夥伴可訂閱 AWS Shield Advanced。
-
AWS 如何處理客戶的刪除指令?
AWS 服務讓客戶隨需使用 AWS 管理主控台、API 和其他輸入方法刪除內容。如需特定服務功能的詳細資訊,請參閱我們的文件。
-
如果我有關於 LGPD 和 AWS 方面的問題,我應該聯絡誰?
如果有關於資料保護或 AWS 和 LGPD 這方面的問題,除參閱我們的資料隱私權頁面和隱私權聲明之外,我們建議客戶和 APN 合作夥伴請聯繫他們的 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM)。TAM 與解決方案架構師合作協助客戶找出潛在的風險和可能的補救措施。TAM 和客戶團隊還可以根據客戶的環境和需求,為客戶和 APN 合作夥伴提供特定的資源。
AWS 還擁有企業支援代表團隊、專業服務諮詢師和其他人員,可協助處理與 LGPD 有關的問題。為了協助進一步教育客戶和 APN 合作夥伴,AWS 另外在 AWS 高峰會上舉辦了一系列演講活動、網路研討會和研討會,幫助他們了解 LGPD 和使用 AWS 工具實作解決方案。