欧盟数据保护白皮书.PDFVIP

Amazon Web Services — 欧盟数据保护白皮书 2016 年11 月 欧盟数据保护白皮书 2016 年11 月 (请访问 /compliance/aws-whitepapers/ 获取此白皮书的最新版本，访 问/de/data-protection/ 获取德语版本。) 第1 页，共14 页 Amazon Web Services — 欧盟数据保护白皮书 2016 年11 月 介绍 本文档为希望使用 AWS 存储含个人数据的内容的客户提供帮助信息。具体而言，本文档介绍客 户如何根据欧洲议会和理事会于 1995 年 10 月 24 日发布的有关个人数据处理的个人保护以及此 类数据的自由移动的指令 95/46/EC ( 以下简称“指令”) 使用 AWS 服务。目的是帮助客户 理解：  AWS 服务的运行方式，包括客户如何遵守欧盟法律，满足其安全需求和加密，或者保护 其内容  客户对存储和访问其内容的地理位置的完全控制，以及其他相关合规性注意事项  在管理和保护AWS 服务上所存储内容的过程中，客户和AWS 分别担当的角色 本白皮书重点介绍AWS 客户在考虑“指令”对其使用AWS 服务存储包含个人数据的内容的影响 时常见的典型问题。各客户还有其他相关注意事项需要考虑，如客户需要遵守行业特定要求以及 客户业务所在司法辖区的其他法律。本白皮书仅提供信息参考；不是法律建议，不应理解为法律 建议。由于客户的需求各不相同，AWS 鼓励客户寻求有关实施隐私和数据保护环境的适当建议， 概括地说，就是与其业务相关的适用法律。 与客户内容相关的注意事项 内容存储为所有组织都带来了一些需要考虑的常见实际问题，包括：  内容是否有安全保障？  内容存储在哪里？  谁可以访问内容？  内容适用哪些法律和法规？如何才能遵守这些法律和法规？ 这些注意事项并不是新出现的，也不是特定于云的。它们与内部托管和操作的系统以及传统的第 三方托管服务相关。使用 AWS 服务时，客户对其内容保有控制权，并且负责 (且已获得完全授 权) 管理和控制各自的内容安全要求，包括：  选择在AWS 存储哪些内容  内容是否将加密—静态和传输中  内容用到了哪些AWS 服务  内容是在哪里存储和处理的  内容的格式和结构以及是否进行遮蔽或匿名处理  他们允许谁访问内容以及如何授予、管理和撤销这些访问权限 客户内容的安全性取决于AWS 和客户实施相应的措施。当AWS 在其基础云环境中实施安全控制 措施时，AWS 客户对其内容以及内容安全性保有控制权。关于AWS 上存储的个人数据适用的数 据保护要求，了解并区分客户和AWS 各自的角色是非常重要的。 第2 页，共14 页 Amazon Web Services — 欧盟数据保护白皮书 2016 年11 月 客户内容安全性： 将 IT 基础设施迁移到 AWS ，意味着客户和AWS 在其职责范围内都对运行和安全性的管理扮演 着重要的角色。AWS 运行、管理和控制托管操作系统的组件和虚拟化层，甚至包括运行 AWS 服 务的设施的物理安全性。客户负责管理来宾操作系统 (包括来宾操作系统更新和安全补丁) 和关联 应用程序软件以及 AWS 提供的安全组防火墙和其他安全相关功能的配置。客户通常通过第三方 (例如Internet 服务提供商) 提供的服务连接到AWS 环境。AWS 不提供这些连接，客户应考虑此 类连接的安全性以及与其系统相关的此类第三方的安全责任。这实际上与使用提供本地数据中心 连接的网络服务提供商没有什么不同。 此模型如下面的图1 所示： 图1 —安全模型 此模型对客户内容安全性有何意义？ 在评估云解决方案的安全性时，理解和区分以下几点对于客户而言非常重要：  云服务提供商(AWS) 实施和运行的安全措施— “云的安全性”；以及