Конфиденциальность данных в Аргентине

Обзор

Закон № 25,326 Аргентины о защите персональных данных (PDPA), включающий распоряжение № 1558/2001 и дополнительные нормативно‑правовые акты (PDPL), – это федеральный закон Аргентины, применяющийся в отношении защиты персональных данных на территории Аргентины, а также в случаях передачи персональных данных на территорию других государств для выполнения обработки. В июле 2018 г. Орган по надзору за соблюдением законодательства о защите персональных данных Аргентины (Agencia de Acceso a la Información Pública, ADPA) издал Резолюцию 47/2018 («Резолюция 47») согласно PDPL, которая аннулировала Распоряжение № 11/2006 относительно мер безопасности, которые должны применяться контролерами данных (то есть, клиентами AWS) во время обработки персональных данных. В Резолюции 47 описаны новые рекомендуемые меры безопасности, согласованные с международными рекомендациями и стандартами. Ее цель – защитить конфиденциальность и целостность персональных данных во время их обработки: с момента сбора до момента удаления. В частности, в этой новой резолюции обновлен список мер и средств, рекомендуемых для управления, планирования, контроля и повышения безопасности при обработке персональных данных. Эти рекомендуемые меры безопасности распределены по категориям в соответствии с действиями по обработке, включая сбор данных, контроль доступа, контроль изменений, резервное копирование и восстановление, управление уязвимостями, удаление или стирание данных, инциденты безопасности и среды разработки. Более того, в документе Resolution 47 имеется список мер безопасности, применимых к «конфиденциальным данным» (согласно их определению в Законе о защите персональных данных – PDPL).

AWS внимательно следит за обеспечением конфиденциальности и защиты данных клиентов. Обеспечение безопасности в AWS начинается уже на уровне базовой инфраструктуры. Состояние инфраструктуры, созданной специально для облачных вычислений и отвечающей самым строгим мировым требованиям безопасности, круглосуточно отслеживается, чтобы обеспечивать конфиденциальность, целостность и доступность данных клиентов. Эксперты по безопасности мирового класса, отслеживающие состояние этой инфраструктуры, также создают и поддерживают широкий ряд инновационных сервисов безопасности AWS, которые упрощают соблюдение нормативных требований и требований безопасности. Независимо от размера или местоположения компании, клиенты AWS могут пользоваться всеми преимуществами нашего опыта, который прошел проверку на соответствие самым строгим требованиям сторонних организаций по обеспечению безопасности.

AWS внедряет и поддерживает технико‑организационные меры обеспечения безопасности, которые распространяются на сервисы облачной инфраструктуры AWS и отвечают требованиям общепризнанных схем обеспечения безопасности и сертификаций, включая ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, а также SOC 1, 2 и 3. Эти технико‑организационные меры обеспечения безопасности проверены независимыми сторонними инспекторами и предназначены для предотвращения несанкционированного доступа к пользовательскому контенту и раскрытия информации.

Например, ISO 27018 является первым международным сводом правил, который направлен на обеспечение защиты персональных данных в облаке. Он основан на стандарте информационной безопасности ISO 27002 и содержит руководство по использованию средств контроля этого стандарта, применимых к персональным данным, обрабатываемым поставщиками общедоступных облачных сервисов. Для клиентов это служит доказательством того, что AWS обладает системой средств контроля, предназначенных для обеспечения безопасности их контента.

Эти комплексные технико‑организационные меры AWS соответствуют целям акта PDPL, а также вытекающей из PDPL Резолюции 47 по защите персональных данных. Клиенты, использующие сервисы AWS, могут полностью контролировать свой контент и несут ответственность за реализацию дополнительных мер безопасности, исходя из конкретных потребностей (включая классификацию контента, шифрование, управление доступом и распределение учетных данных для доступа).

Поскольку AWS не знает, какого рода информацию клиенты хранят в AWS, и не имеет возможности определить, попадают ли эти данные под действие PDPL, полную ответственность за соблюдение требований PDPL и соответствующих нормативно‑правовых актов несут сами клиенты. Содержимое этой страницы дополняет существующие ресурсы по Конфиденциальности данных, чтобы вы могли привести свои требования в соответствие с Моделью общей ответственности AWS при обработке персональных данных в международных центрах обработки данных.

Вопросы и ответы

Общие вопросы

Открыть все

Какова роль клиента в обеспечении безопасности своего контента?

Аналогично обеспечению безопасности приложений в локальном центре обработки данных, в соответствии с моделью общей ответственности AWS клиенты AWS самостоятельно определяют, какой уровень безопасности необходимо реализовать для защиты их контента, платформы, приложений, систем и сетей в облаке. Для управления соответствием актуальным для них требованиям клиенты могут использовать технико‑организационные меры обеспечения безопасности и средства управления, предлагаемые AWS. Клиентам доступны привычные средства защиты данных, такие как шифрование и многофакторная аутентификация, а также возможности обеспечения безопасности AWS, такие как сервис AWS Identity and Access Management.

При оценке безопасности облачного решения клиенты должны понимать и различать следующие понятия:

меры безопасности, реализуемые и поддерживаемые AWS, – «безопасность облака»;
меры безопасности, реализуемые и поддерживаемые клиентом и относящиеся к безопасности клиентского контента и приложений, использующих сервисы AWS, – «безопасность в облаке».

Модель общей ответственности AWS

Кто имеет доступ к клиентскому контенту?

Клиенты сохраняют право собственности на свой контент и право управления им и сами выбирают, какие сервисы AWS могут обрабатывать, хранить и размещать его. AWS не имеет возможности определить суть клиентского контента, не имеет к нему доступа и не использует его ни для каких целей, кроме предоставления сервисов AWS, которые выбрал клиент, или в случаях, когда это требуется для соблюдения закона либо предписания, имеющего законную силу.

Клиенты, использующие сервисы AWS, полностью контролируют свой контент в среде AWS. Они могут выполнять следующие действия:

определять, где будет располагаться их контент, например выбирать тип среды хранения и географическое расположение хранилища;
задавать формат хранения этого контента, например в виде обычного текста, с использованием масок, анонимно или в зашифрованном виде с помощью механизма шифрования, предоставляемого AWS или сторонним поставщиком по выбору клиента;
управлять другими элементами контроля доступа, например, сервисом управления идентификацией и доступом и учетными данными для доступа;
контролировать использование SSL, виртуального частного облака и других мер сетевой безопасности для защиты от несанкционированного доступа.

Это позволяет клиентам AWS контролировать полный жизненный цикл своего контента в AWS и управлять контентом, исходя из собственных потребностей, включая классификацию контента, управление доступом, хранение и удаление.

Где хранится контент клиента?

Независимо от выбора местоположения и методов развертывания рабочих нагрузок, глобальная инфраструктура AWS предоставляет единую сеть, плоскость управления, API и сервисы AWS. Если вам необходимо обеспечить работу приложений во всем мире, вы можете выбрать нужные регионы AWS или зоны доступности. Клиенты выбирают регионы AWS, в которых будет храниться их контент, что позволяет развертывать сервисы AWS в различных местоположениях в соответствии с конкретными географическими требованиями. Например, если клиенту AWS из Австралии требуется хранить данные только в Австралии, он может выбрать для развертывания своих сервисов AWS исключительно Азиатско-Тихоокеанский регион (Сидней). Если вы хотите рассмотреть другие гибкие варианты хранилищ, перейдите на страницу Регионы AWS.

Клиенты могут реплицировать контент между регионами AWS и создавать резервные копии в нескольких регионах. Мы не будем перемещать или реплицировать контент за пределы выбранных клиентом регионов AWS без согласия клиента, за исключением отдельных случаев, когда это требуется законодательством или обязывающим предписанием государственного органа. Однако стоит отметить, что некоторые сервисы AWS могут быть недоступны в отдельных регионах. Подробнее о доступности сервисов в отдельных регионах AWS см. на странице Региональные сервисы AWS.

Как AWS обеспечивает безопасность своих центров обработки данных?

Стратегия безопасности центров обработки данных AWS состоит из масштабируемых элементов управления безопасностью и нескольких уровней защиты, которые помогают обеспечить безопасность информации клиентов. Например, AWS тщательно управляет потенциальными рисками наводнений и сейсмической активности. Для ограничения доступа к центрам обработки данных мы используем физические препятствия, службу охраны, технологию обнаружения угроз и процедуру углубленной проверки. Мы выполняем резервное копирование наших систем, регулярно тестируем оборудование и процессы, а также постоянно обучаем сотрудников AWS, чтобы они были готовы к нештатным ситуациям.

Для проверки безопасности наших центров обработки данных внешние аудиторы проводят в них тестирование на соответствие более чем 2600 стандартам и требованиям в течение всего года. Такая независимая экспертиза гарантирует постоянное соблюдение или превышение стандартов безопасности. В результате даже организации с самыми строгими в мире требованиями доверяют AWS защиту своих данных.

Подробнее о том, как мы защищаем центры обработки данных AWS, см. в виртуальной демонстрации.

Какие регионы AWS я могу использовать?

Клиенты могут использовать один регион по выбору, все регионы или любую комбинацию регионов, включая регионы в Бразилии и США. Полный список регионов AWS см. на странице глобальной инфраструктуры AWS.

Орган по надзору за соблюдением законодательства о защите персональных данных Аргентины постановил, что некоторые страны обеспечивают «адекватный уровень защиты» персональных данных. Существует ли в какой‑либо из этих стран регион AWS?

В рамках PDPL контролерам данных (т. е. клиентам AWS) разрешено передавать персональные данные в страны и на территории, предлагающие «адекватный уровень защиты» персональных данных, как это установлено ADPA. Согласно положению 60‑E/2016, опубликованному ADPA, считается, что государства, являющиеся членами Европейского Союза (ЕС) и Европейского экономического сообщества, предлагают адекватный уровень защиты персональных данных.

Регионы AWS существуют во многих странах, которые, по мнению ADPA, обеспечивают адекватный уровень защиты по определению PDPL, например, в Германии, Франции, Великобритании и Ирландии (страны ЕС). Полный список регионов AWS см. на странице глобальной инфраструктуры AWS.

Независимо от выбранного региона AWS применяет к своим центрам обработки данных одни и те же стандарты безопасности.

Какие международные соглашения о передаче данных предлагает AWS для защиты персональных данных, передаваемых в какую‑либо страну, в том числе в Бразилию и США?

В своих соглашениях с клиентами AWS берет на себя определенные обязательства по обеспечению безопасности и конфиденциальности, которые применяются к клиентскому контенту во всех регионах, которые были выбраны клиентом для хранения данных. Обязательства, которые берет на себя AWS, соответствуют целям PDPL, положения 60-E/2016 Резолюции 47/2018 по защите персональных данных в соответствии с PDPL.

AWS также предлагает международное Приложение по обработке данных (DPA), также называемое соглашением о передаче данных, которое применяется во всем мире и включает в себя конкретные договорные обязательства для адекватного решения вопросов, касающихся роли и обязательств каждой стороны относительно конфиденциальности и безопасности персональных данных.

Клиентам также предлагается возможность заключить с AWS соглашение Enterprise Agreement, которое может быть дополнительно адаптировано под конкретные потребности клиента. Для получения дополнительной информации о соглашениях AWS Enterprise Agreement или DPA свяжитесь с вашим торговым представителем AWS.