AWS 是否符合GDPR訂定的行為準則規範 ?
AWS 已宣布符合 CISPE 資料保護行為準則。CISPE 是雲端基礎設施 (也稱為基礎設施即服務) 供應商聯盟,這些供應商為歐洲的客戶提供雲端服務。CISPE 行為準則可協助雲端客戶確保其雲端基礎設施供應商依照 GDPR 使用適當的資料保護標準來保護他們的資料。準則的幾項重要好處包括:
- 釐清就資料保護而言誰該負責哪些項目:行為準則依照 GDPR 解釋雲端基礎設施服務中供應商與客戶兩者的具體角色。
- 行為準則列出供應商應當遵循的原則:行為準則概述供應商應該採取的行動和承諾以遵守 GDPR 且協助客戶遵守該規則。
- 行為準則為客戶提供制定資料保護和資料安全合規等決策時的必要資訊:行為準則要求供應商透明地公開他們履行安全承諾時所採取的步驟。這些步驟包括資料洩露、資料刪除、第三方子流程以及執法機關和政府機關要求的相關通知。客戶可以使用這些資訊完全地了解提供的高標準安全防護
如需了解 AWS 處理執法機構請求的方式,請參閱:「解決 AWS 資料駐留問題」。
AWS 為客戶提供哪些服務以協助其遵守 GDPR ?
AWS 已經提供特定功能和服務來幫助客戶達到 GDPR 的要求:
存取控制:只允許已授權的管理員、使用者和應用程式存取 AWS 資源
- Multi-Factor-Authentication (MFA)
- 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
- API 請求身份驗證
- 地理限制
- 透過 AWS Security Token Service 取得臨時存取字符
監控和記錄:取得 AWS 資源活動概觀
- 使用 AWS Config 進行資產管理和組態
- 利用 AWS CloudTrail 執行合規稽核和安全性分析
- 透過 AWS Trusted Advisor 識別組態的挑戰
- 精細記錄對 Amazon S3 物件的存取
- 透過 Amazon VPC-FlowLogs 了解網路流量的詳細資訊
- 使用 AWS Config Rules 執行以規則為基礎的組態檢查和動作
- 利用 AWS CloudFront 中的 WAF 功能過濾和監控 HTTP 存取應用程式
加密:在 AWS 上加密資料
- 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
- 集中管理的金鑰管理 (依 AWS 區域)
- 透過 VPN 閘道經由 IPsec 通道連入 AWS
- 使用 AWS CloudHSM 的雲端專用 HSM 模組
完備的合規架構和安全標準:
- 已經過 ISO 27001/9001 認證
- 已經過 ISO 27017/27018 認證
- Cloud Computing Compliance Controls Catalog (C5 – 德國政府支持的鑑定機制)
- AWS 與 TÜV TRUST IT 稽核者合作發佈客戶認證工作手冊,提供如何在雲端達到德國 BSI IT Grundschutz 合規的指導。