תוכן שיווקי

AWS והרגולציה להגנת נתונים

24/05/2017 16:09
AWS Pop-up Loft. צילום: איל גזיאל

כתב: סטפן שמידט, אמזון ווב סרוויסס (AWS)

קצת לפני יותר משנה, נציבות האיחוד האירופי אישרה ואימצה את הרגולציה החדשה להגנת נתונים (GDPR).

ה-GDPR הוא השינוי הגדול ביותר בחוקי הגנת הנתונים באירופה, מאז הצגת הוראת הגנת הנתונים של האיחוד האירופי (EU) ב-1995, הידועה כ-Directive 95/46/EC. ה-GDPR נועד לחזק את האבטחה וההגנה על נתונים אישיים באיחוד האירופי והוא יחליף את ההוראה הקיימת ואת כל החוקים המקומיים הקשורים בה.

AWS מברכת על הגעת ה-GDPR. הדרישות החדשות והמקיפות מעלות את הרף עבור הגנת נתונים, אבטחה ועמידה ברגולציה והן תדחופנה את התעשייה לעקוב אחר הוראות אלו ולאמץ את אמצעי השליטה והבקרה הקפדניים ביותר, מה שיהפוך את כולם למאובטחים יותר.

אני שמח להכריז היום כי כל שירותי AWS יתמכו ב-GDPR כשאלו יכנסו לתוקף ב-25 במאי, 2018.

בכתבה זו, אסביר את העבודה ש-AWS עושה על מנת לסייע ללקוחות עם GDPR כחלק מהמחויבות המתמשכת שלנו לסייע ללקוחות להבטיח כי הם עומדים בדרישות הגנת הנתונים של האיחוד האירופי.

מה AWS עשתה?

AWS שומרת תמיד על רף גבוה של אבטחה ועמידה ברגולציה בכל האזורים (Regions) שלנו ברחבי העולם. הדבר תמיד היה בראש סדר העדיפויות שלנו, אבן יסוד אמיתית.

תשתית הענן של AWS נבנתה על מנת להציע ללקוחות את סביבת מחשוב הענן העוצמתית, הגמישה והמאובטחת ביותר שזמינה כיום. בנוסף, AWS מעניקה לך מספר שירותים וכלים שמאפשרים לך לבנות תשתית תואמת GDPR על גבי AWS.

אחד הכלים שאנו מעניקים הוא הסכם עיבוד הנתונים, DPA (ר"ת Data Processing Agreement). אני גאה להכריז כי יש לנו כיום DPA שיעמוד בדרישות ה-GDPR.

GDPR DPA זמין כעת לכל לקוחות AWS כדי לסייע להם להתכונן ל-25 במאי, 2018, כאשר GDPR יכנס לתוקף. למידע נוסף אודות ה-GDPR DPA או כדי להשיג עותק, צרו קשר עם מנהל הלקוח שלכם ב-AWS.

בנוסף למנהלי לקוחות, יש לנו צוותים של מומחי רגולציה, הגנת נתונים, ומומחי אבטחה העובדים עם לקוחות ברחבי אירופה, כדי לענות על השאלות שלהם ולסייע להם להתכונן להרצת תהליכים בענן של AWS לאחר שה-GDPR יכנס לתוקף.

כדי להוסיף ולתמוך בשאלות  לקוחות, עדכנו את האתר שלנו "הגנת נתונים באיחוד האירופי". אתר זה כולל מידע אודות: מה זה GDPR, השינויים שהוא מביא לארגונים הפועלים באיחוד האירופי, השירותים ש-AWS מציעה כדי לסייע לכם לעמוד ברגולציה ועצות כיצד להתכונן.

נושא נוסף שאנו מכסים באתר "הגנת הנתונים באיחוד האירופי" הוא התמיכה של AWS בקוד ההתנהגות של CISPE (ר"ת Cloud Infrastructure Services Providers in Europe). קוד ההתנהגות מסייע ללקוחות הענן להבטיח כי ספק תשתית הענן שלהם משתמש בסטנדרטים המתאימים להגנת נתונים עקבית ורציפה תחת GDPR.

AWS הכריזה גם כי Amazon EC2 ,Amazon S3 ,Amazon RDS ,AWS Identity and Access Management ,AWS CloudTrail ו- Amazon Elastic Block Storage, עומדים באופן מלא בקוד ההתנהגות של CISPE.

הכרזה זו מספקת ללקוחות את הביטחון כי כאשר הם משתמשים ב-AWS הם שולטים באופן מלא על המידע שלהם, בסביבה בטוחה ומאובטחת, תוך עמידה ברגולציה. למידע נוסף אודות התאימות של AWS עם קוד ההתנהגות של CISPE, בקרו באתר CISPE.

בנוסף לאספקת מספר כלים ושירותים ללקוחותינו שמאפשרים לבנות סביבות תואמות GDPR, השיגה AWS מספר הסמכות בינלאומיות.

בתהליך זה, AWS הציגה תאימות לתקינה של גופי צד שלישי, כגון ISO 27017 לאבטחת ענן, ISO 27018 לפרטיות ענן, PCI DSS Level 1, ו-SOC 1 ,SOC 2 ו-SOC 3.

AWS מסייעת בנוסף ללקוחות לעמוד בתקני אבטחה מקומית, כגון Common Cloud Computing Controls Catalogue של BSI, החשובה בגרמניה. נמשיך לפעול להוספת הסמכות נוספות החשובות ללקוחות AWS.

מה אתה יכול לעשות?

למרות ש-GDPR לא תיכנס לתוקף עד ה-25 במאי, 2018, אנו מעודדים את הלקוחות והשותפים שלנו להתחיל ולהתכונן כעת.

אם כבר הטמעת רף גבוה של עמידה ברגולציה, אבטחה ופרטיות נתונים, המעבר ל- GDPR צריך להיות פשוט. עם זאת, אם עדיין לא התחלת את המסע שלך לעמידה בתקני GDPR, אנו מעודדים אותך להתחיל לבחון כעת את תהליכי האבטחה, העמידה ברגולציה והגנת הנתונים, כדי להבטיח מעבר חלק במאי 2018.

אתה צריך לשקול את הנקודות הבאות כחלק מההכנה ל-GDPR:
טווח טריטוריאלי – הקביעה האם GDPR תקפה לפעילות הארגון שלך היא חיונית כדי להבטיח את היכולת של הארגון לעמוד בדרישות הרגולציה כנדרש.
זכויות בעלי הנתונים – ה–GDPR מחזק זכויות של בעלי נתונים במספר דרכים. תצטרכו להבטיח כי אתם יכולים להגן על זכויות בעלי הנתונים אם אתם מעבד את הנתונים האישיים שלהם.
התראות על דליפת נתונים – אם אתם מטפלים בנתונים אתם חייבים לדווח על כל דליפת מידע או פריצה לרשויות הגנת הנתונים ללא עיכוב מיותר, ובכל מקרה, תוך 72 שעות מהרגע בו אתם מודעים לפריצה.
קצין הגנת נתונים (DPO) – ייתכן ותצטרכו למנות DPO שינהל את אבטחת הנתונים ונושאים אחרים הקשורים לעיבוד נתונים אישיים.
הערכת ההשפעה של הגנת נתונים (DPIA) – ייתכן ותצטרכו לערוך DPIA, ובמקרים מסוימים אתם עלולים להידרש להגיש DPIA של פעילות העיבוד שלכם אל רשות מפקחת.
הסכם עיבוד נתונים (DPA) – אתם עלולים להזדקק ל-DPA שיעמוד בדרישות GDPR, במיוחד אם נתונים אישיים מועברים אל מחוץ לאזור הכלכלי האירופי.

AWS מציעה מגוון רחב של שירותים ותכונות שיסייעו ללקוחות לעמוד בדרישות ה-GDPR, כולל שירותים לבקרת גישה, ניטור, רישום והצפנה. למידע נוסף אודות שירותים אלה ומאפיינים נוספים, בקר ב-EU Data Protection.

אבטחה, הגנת נתונים ועמידה ברגולציה נמצאים בראש סדר העדיפויות של AWS, ואנו נמשיך לעבוד ברציפות כדי להבטיח שלקוחותינו מסוגלים ליהנות מהיתרונות של AWS באופן מאובטח, תוך עמידה ברגולציה, וללא הפרעה, באירופה וברחבי העולם. בעודנו מתקדמים אל עבר מאי 2018, נשתף בחדשות ובמשאבים נוספים בנושא GDPR.

לבלוג לחצו כאן.

AWS

אירועים קרובים