印尼資料隱私權
保護您的資料
贏得客戶信任是我們在 AWS 開展業務的基礎,我們知道您相信我們會保護您最重要的敏感資產:您的資料。我們與您緊密合作以了解您的資料保護需求,並提供最完善的服務、工具和專業知識來幫助您保護資料,從而贏得您的信任。為此,我們提供保護您的資料所需的技術、營運和合約措施。借助 AWS,您可以管理資料的隱私控制、控制資料的使用方式、存取人員以及加密方式。我們利用現今最靈活且最安全的雲端運算環境,以為這些功能提供堅實的支援。
我們對您的承諾
資料控制
藉助 AWS,您可以使用功能強大的 AWS 服務和工具來控制您的資料,包括確定資料的存放位置、保護方式以及存取人員。AWS Identity and Access Management (IAM) 等服務可讓您安全地管理對 AWS 服務與資源的存取。AWS CloudTrail 和 Amazon Macie 支援管控、合規、偵測及稽核,而 AWS CloudHSM 和 AWS Key Management Service (KMS) 可讓您安全地產生和管理加密金鑰。
資料隱私權
資料主權
您可以選擇將您的客戶資料存放在我們全球任何一個或多個 AWS 區域中。 使用 AWS 服務時,您也可以確信您的客戶資料就放置在您所選取的 AWS 區域中。有小部分 AWS 服務涉及資料傳輸,例如,為了開發和改善特定服務,在這種情況下您可以選擇退出傳輸;或者因為傳輸本身就是服務的主要部分 (例如內容交付服務)。我們禁止且我們的系統旨在防止 AWS 人員出於任何目的 (包括服務維護) 從遠端存取客戶資料,除非您自己要求存取,或除非防止欺詐和濫用或是為了遵守法律而需要存取。如果我們收到執法申請,且假若申請與法律衝突、過於廣泛或我們有其他適當的理由這樣做,我們將質疑政府機構有關客戶資料的執法申請。我們還提供雙年度資訊申請報告,描述 AWS 從執法部門收到的資訊申請的類型和數量。
安全性
在 AWS,安全性是我們的首要考量,而雲端安全是 AWS 和我們客戶的共同的責任。 金融服務提供者、醫療保健提供者及政府機構都是我們的客戶,他們信任我們並將一些極敏感資訊交由我們管理。您可以透過我們全面的服務 (無論是 Amazon GuardDuty 還是 EC2 執行個體的基礎平台 AWS Nitro System),來提升滿足核心安全性、機密性和合規性要求的能力。此外,AWS CloudHSM 和 AWS Key Management Service 等服務可讓您安全地產生和管理加密金鑰,而 AWS Config 和 AWS CloudTrail 可提供監控和記錄功能,以實現合規與稽核。
概觀
印尼於 2022 年 10 月 17 日頒佈個人資料保護法 (印度尼西亞共和國 2022 年第 27 號法規) (PDP 法規)。(i) 印尼境內的居民,以及 (ii) 其行為對印尼境內或境外的印尼資料主體產生法律影響的印尼境外居民均適用 PDP 法規。
PDP 法規將資料控制者和資料處理者區分開來,兩方適用不同的資料處理義務。資料控制者為確定個人資料處理目標並對其進行控制者。資料處理者為按資料控制者指示處理資料者。資料控制者的部分關鍵義務有:
- 依照指定的處理法律依據來處理個人資料,包含資料主體的同意、合約需求以及合法利益
- 實施適當的安全措施,防止個人資料未經授權而揭露
- 回應資料主體的權利,包括存取、修正其個人資料和請求刪除其個人資料
- 僅在滿足此類傳輸條件的情況下,將個人資料傳輸至印尼境外
對於資料處理者,PDP 法規要求其僅能根據資料控制者的指示來處理其個人資料。PDP 法規不包含任何資料本地化要求。
現行的個人資料保護規範,包含 2008 年關於電子資訊和交易的第 11 號法、2019 年關於電子系統和交易營運的第 71 號政府法規 (GR 71) (此法規修訂了 2012 年關於電子系統和交易營運的第 82 號政府法規),以及 2016 年關於電子系統中個人資料保護的通訊和資訊部部長第 20 號法規 (第 20 號行政法規),將在不與 PDP 法規衝突的範圍內持續實施。
AWS 十分重視您的隱私和資料安全。AWS 從核心基礎設施開始便重視安全。我們的基礎設施專為雲端進行客製化且符合全球最嚴格的安全規定,透過全天候的監控以確保客戶資料的機密性、完整性和可用性。監控此基礎設施的同一批世界級安全專家也負責建立和維護我們的各種創新安全服務,這些服務能協助您符合自身安全與監管需求。作為 AWS 客戶,無論您的規模大小或位於何處,都可以延續我們的經驗所帶來的一切優點,並根據最嚴格的第三方保證架構進行測試。
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施,包括 ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 22301、PCI DSS 第 1 級和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
例如,ISO 27018 是第一個專為保護雲端個人資料而成立的國際性作業標準。它的根據是 ISO 資訊安全標準 27002,並提供公有雲端服務提供者處理的個人身分識別資訊 (PII) 適用的 ISO 27002 控制實作指導。其向客戶展現 AWS 擁有一套控制系統,專門處理其內容的隱私權保護。
這些全面的 AWS 技術和組織措施符合保護個人資料的一般法規目標。使用 AWS 服務的客戶可以保有其內容的控制權,並負責根據其特定需求而實作其他安全措施,包括內容分類、加密、存取管理和安全憑證。
由於 AWS 無法看見或得知客戶上傳到其網路的內容,包括該資料是否遵守 PDP 法規,因此客戶最終要負責遵守 PDP 法規和相關法規。當您使用 AWS 服務存放和處理個人資料時,此頁面的內容可補充現有資料隱私權資源的不足之處,協助您的個人需求與 AWS 共同責任模式保持一致。
-
在保護客戶內容方面,客戶所扮演的角色為何?
根據 AWS 共同的責任模型,AWS 客戶可以控制要實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路,這與他們對現場資料中心內的應用程式的具體操作並無不同。客戶可以利用 AWS 提供的技術、組織安全措施以及各種控制功能來管理自己的合規需求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客戶也可使用熟悉的安全措施來保護他們的資料,例如加密和多重因素認證。
當評估雲端解決方案的安全時,客戶需要特別了解下列項目並分辨其中的差別:
- AWS 實作和操作的安全措施 –「雲端本身的安全」,以及
- 客戶實作和操作的安全措施,這與利用 AWS 服務的內容與應用程式安全有關 –「雲端內部的安全」
-
誰可以存取客戶內容?
客戶保有其客戶內容的擁有權和控制權,並可選取由哪些 AWS 服務處理、存放和託管其客戶內容。除了提供客戶選擇的 AWS 服務或者需要遵守法律或具有約束力的法律命令之外,AWS 並無法查看客戶內容,也不會存取或使用客戶內容。
使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。他們可以:
- 決定要放置的位置,例如儲存環境的類型和儲存環境所處的地理位置。
- 控制該內容的格式,例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制。
- 管理其他存取控制,例如身份與存取管理以及安全登入資料。
- 控制是否使用 SSL、Virtual Private Cloud 和其他網路安全措施來防止未經授權的存取。
這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期,並根據自己的特定需求管理其內容,包括內容分類、存取控制、保留和刪除。
-
客戶內容將存放於何處?
AWS 資料中心以叢集的形式建置在全球不同位置。我們將位於特定位置的每個資料中心叢集稱為「區域」。
AWS 客戶選擇要將內容存放在哪個 AWS 區域。這讓有特定地理位置需求的客戶將環境建立在自己選擇的位置。
客戶可以在多個區域複寫和備份內容,但 AWS 不會將客戶內容移動到客戶所選區域之外,除非根據客戶要求提供服務或是為了遵守適用的法律。
-
AWS 如何保護其資料中心?
AWS 資料中心安全策略與可擴展的安全控制和多層防禦相結合,有助於保護您的資訊。例如,AWS 會謹慎地管理潛在的洪水和地震活動風險。我們使用實體屏障、安全保護、威脅偵測技術和深入篩選流程來限制對資料中心的存取。我們會備份自己的系統、定期測試設備和流程,並持續訓練 AWS 員工為突發事件做好準備。
為了驗證我們資料中心的安全,外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。這種獨立檢查有助於確保持續符合安全標準,甚至超越標準。因此,全世界最高度管制的組織都信任 AWS 可保護他們的資料。
觀看虛擬教學 » ,進一步了解我們如何有計劃的保護 AWS 資料中心
-
我可以使用哪些 AWS 區域?
客戶可以選擇使用任何一個區域、所有區域或是任意區域組合。如需 AWS 區域的完整清單,請瀏覽 AWS 全球基礎設施頁面。
-
AWS 採取了哪些安全措施來保護系統?
AWS 雲端基礎設施旨在建構現今最靈活且最安全的雲端運算環境。以 Amazon 的規模,在安全政策和對策方面所投入的資金遠高於幾乎任何其他大公司可自行負擔的程度。這個基礎設施是由執行 AWS 服務的硬體、軟體、網路和設施組成,可為客戶和 APN 合作夥伴提供強大的控制,包括安全組態控制,以便處理個人資料。
AWS 也提供多個第三方稽核員的合規報告,這些稽核員已測試並驗證我們對於各項安全標準和法規的合規 (包括 ISO 27001、ISO 27017 和 ISO 27018)。為了對這些措施的有效性提供透明度,我們提供 AWS Artifact 內第三方稽核報告的存取權。這些報告向我們的客戶和可能做為資料控制者或資料處理者的 APN 合作夥伴,展現我們正在保護他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊,請參閱我們的合規資源。