@lsmn
2018-04-05T22:59:24.000000Z
字数 1234
阅读 2683
云计算 Amazon AWS
2018年5月,欧盟的“通用数据保护条例”就要生效。近日,AWS宣布,其所有正式服务现在都符合GDPR条例了。GDPR是过去二十年中最大规模的数据隐私条例改革。本文将介绍AWS的主要变化和GDPR,以及我们如何做才能符合GDPR。
2018年5月,欧盟的“通用数据保护条例”就要生效。近日,AWS宣布,其所有正式服务现在都符合GDPR条例了。
GDPR是过去二十年中最大规模的数据隐私条例改革,不仅会影响到在欧盟经营的组织,而且会影响到任何处理欧盟公民数据的组织,而不管它在哪里。
让AWS服务进入GDPR就绪状态是一项需要多方面努力的任务。个人信息安全是GDPR遵从性的基础,AWS会使用一系列国际标准认证他们的服务实现。AWS认证过的部分国际标准包括面向云安全的ISO 27017、面向云隐私的ISO 27018、面向技术措施的ISO 27001、服务组织控制1/2/3、欧盟特有的认证,如英国标准协会的公有云计算控件目录(C5)。
AWS还提供了一组服务,用来为GDPR安全方面的实现提供帮助。Amazon GuardDuty帮助监控和威胁检测。Amazon Macie使用机器学习帮助发现个人身份信息和IP相关的信息。Amazon Inspector可以自动评估基于AWS的应用程序的安全性。最后,AWS Config Rules监控云资源的安全合规性。
AWS还发布了一个17页的文档和一个GDPR信息门户,其中前者列出了AWS的GDPR遵从性信息。AWS还提供了一个GDPR遵从性数据处理目录(DPA),让客户能够满足DPA规则。作为GDPR要求的一部分,AWS遵守CISPE行为准则。Amazon提供了一个为期两天的GDPR研讨会,并将在即将到来的欧洲国家、旧金山及东京的AWS峰会上做GDPR报告。
前面已经提到,GDPR也适用于欧盟境外,就是说,它适应于欧盟的控制器和处理器处理个人数据,而不管处理过程是否发生在欧盟。它也适用于欧盟之外的控制器或处理器对欧盟资料保护主体的个人数据的处理,如果这种活动关系到提供给欧盟公民的物品或服务。可能有读者也会希望阅读下美国新法律云法案中一段与之相关的内容,这部法律明确规定了美国及其他国家如何及何时访问存储在彼此司法辖区内的云服务器上的数据。
GDPR另一个关键方面是,许可必须清晰,必须易于阅读和理解。数据处理的目的必须加到许可上,许可撤回必须和授予一样简单。
在新的GDPR规则下,欧盟客户有几项权力,其中包括被遗忘权、访问权、数据迁移权以及设计上和默认情况下的隐私。全世界的公司在处理欧盟客户的数据时都有义务在初次发现数据泄露的72小时内报告数据泄露。他们还需要任命一名数据保护专员(DPO)。
违反GDPR最后会受到2000万欧元或者占营业额4%的罚款,以数额较大者为准,就是说,违规的成本非常高。