Centro per il Regolamento generale sulla protezione dei dati (GDPR)

Il 16 luglio 2020, la Corte di giustizia dell'Unione europea (CGUE) ha emesso una sentenza in merito al trasferimento dei dati personali di persone dell'UE al di fuori del SEE (Schrems II). In Schrems II, la CGUE ha stabilito che lo scudo UE-USA per la privacy non era più un meccanismo valido per trasferire dati personali dal SEE agli Stati Uniti. Tuttavia, nella stessa sentenza, la CGUE ha confermato che le società possono (previa attuazione di misure integrative, se necessarie) continuare a utilizzare le clausole contrattuali standard come meccanismo valido per il trasferimento dei dati personali al di fuori del SEE. Il Comitato europeo per la protezione dei dati (EDPB), un organismo europeo composto da rappresentanti delle autorità nazionali per la protezione dei dati, ha fornito da allora un elenco non esaustivo di misure supplementari nelle sue “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello UE di protezione dei dati personali” (raccomandazioni dell'EDPB).

Le raccomandazioni dell'EDPB forniscono agli esportatori di dati esempi di misure supplementari che potrebbero essere messe in atto. Consulta la domanda frequente “Posso continuare a utilizzare i servizi AWS in seguito alla sentenza Schrems II?” riportata di seguito per conoscere i dettagli sulle risorse di trasferimento dati di AWS.

Sì, i clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei clienti dall'Europa a paesi al di fuori del SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea. La decisione Schrems II ha convalidato l'uso delle clausole contrattuali standard (SCC, Standard Contractual Clauses) come meccanismo per il trasferimento dei dati dei clienti al di fuori del SEE e i clienti AWS possono continuare a fare affidamento sulle SCC per qualsiasi trasferimento dei dati dei clienti al di fuori del SEE in conformità con il GDPR.

• Luogo di elaborazione. I clienti selezionano la Regione AWS in cui verranno archiviati i dati. Una panoramica delle Regioni AWS disponibili è consultabile in Regioni e zone di disponibilità. AWS non tratterà i dati del cliente al di fuori della Regione AWS selezionata dal cliente, a meno che ciò non sia necessario allo scopo di fornire i servizi AWS avviati dal cliente, o se necessario per conformarsi alla legge o a un ordine vincolante di un ente governativo. Consulta la nostra pagina web sulle funzionalità relative alla privacy per saperne di più sui trasferimenti di dati nell'ambito dei servizi AWS.
• Sub-responsabili. AWS può utilizzare sub-responsabili, vale a dire affiliati AWS o terze parti, per assistere nel trattamento dei dati dei clienti, per adempiere ai nostri obblighi nei confronti dei clienti ai sensi del DPA di AWS o per fornire servizi per nostro conto. Per ulteriori dettagli, consulta la domanda frequente “AWS utilizza sub-responsabili per elaborare i dati dei clienti?” riportata di seguito.
• Strumenti di trasferimento. Poiché la sentenza Schrems II ha convalidato l'uso delle SCC come meccanismo per il trasferimento dei dati a paesi al di fuori del SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea, i nostri clienti possono continuare a fare affidamento sulle SCC incluse nel DPA di AWS se scelgono di trasferire i propri dati al di fuori del SEE in conformità con il GDPR.
• Misure supplementari.
  • Controllo del cliente. I clienti hanno la proprietà e il controllo sui dati dei clienti in ogni momento tramite strumenti semplici ma potenti, che consentono loro di determinare dove verranno archiviati i dati dei clienti, proteggere i dati dei clienti in transito e inattivi e gestire l'accesso degli utenti alle loro risorse AWS e modificare, eliminare e recuperare i dati dei clienti.
  • Misure tecniche e organizzative. AWS implementa controlli e processi tecnici e fisici responsabili e sofisticati progettati per impedire l'accesso non autorizzato ai o la divulgazione dei dati dei clienti (per ulteriori informazioni visita la pagina Web sulla conformità di AWS). Forniamo anche una serie di servizi avanzati di crittografia e gestione delle chiavi (inclusi servizi che consentono ai clienti di gestire le proprie chiavi) che i clienti possono utilizzare per proteggere i dati dei propri clienti sia in transito che inattivi: i dati dei clienti crittografati sono resi inaccessibili senza le chiavi di decrittazione applicabili. Indipendentemente dal fatto che i dati dei clienti siano crittografati o meno, lavoreremo sempre con attenzione per proteggere i dati dei clienti da qualsiasi accesso non autorizzato.
  • Richieste delle forze dell'ordine. AWS dispone di processi interni per gestire le richieste che riceviamo dalle forze dell'ordine. Quando riceviamo una richiesta per la divulgazione di contenuti da parte della legge, la esaminiamo attentamente per autenticarne l’accuratezza e verificare che sia appropriata e conforme con le leggi applicabili. A meno che non sia legalmente vietato farlo, AWS avvisa i clienti prima di divulgare i loro dati in modo che i clienti possano adottare ulteriori misure per proteggere i dati dalla divulgazione. Nell'addendum supplementare al DPA di AWS (addendum supplementare), AWS assume impegni contrattuali rafforzati in relazione alla gestione delle richieste governative per i dati dei clienti, ad esempio impegnandosi a: (i) utilizzare ogni ragionevole sforzo per reindirizzare qualsiasi ente governativo che richieda i dati dei clienti al cliente in questione, (ii) notificare prontamente la richiesta al cliente se legalmente autorizzato a farlo (anche utilizzando tutti gli sforzi ragionevoli e leciti per ottenere una deroga al divieto, se necessario), (iii) contestare qualsiasi richiesta eccessiva o inappropriata, anche laddove la richiesta sia in conflitto con il diritto dell'UE e (iv) se, dopo aver esaurito i passaggi sopra descritti, AWS rimane ancora obbligata a divulgare i dati del cliente in risposta a una richiesta governativa, a divulgare solo la quantità minima di dati del cliente necessaria per soddisfare la richiesta.
  • Misure contrattuali. AWS assume diversi impegni contrattuali rispetto alle misure sopra descritte che si riflettono nel DPA di AWS e nell'addendum supplementare. Il DPA di AWS e l'addendum supplementare includono impegni contrattuali di AWS riguardanti: (1) la selezione da parte del cliente delle Regioni AWS in cui i dati vengono archiviati e trattati, (2) le misure tecniche e organizzative che AWS ha implementato per proteggere l'infrastruttura AWS e le misure organizzative e tecniche che i clienti possono scegliere di applicare per proteggere i loro dati, (3) le misure di AWS per proteggere i dati dei clienti e informarli in caso di una richiesta di divulgazione dei dati da parte di un ente governativo e (4) la capacità di AWS di adempiere ai propri obblighi stabiliti nel DPA di AWS in conformità con la legislazione applicabile in un Paese terzo in cui vengono trattati i dati dei clienti. L'addendum supplementare affronta anche (5) i diritti legali delle persone fisiche di chiedere un risarcimento in caso di violazione dei loro diritti garantiti dal GDPR.

Sì, AWS può utilizzare tre tipi di sub-responsabili: (1) entità AWS che forniscono l'infrastruttura su cui vengono eseguiti i servizi AWS; (2) entità AWS che supportano servizi AWS specifici che possono richiedere l'elaborazione di dati dei clienti da parte di tali entità; (3) terze parti con cui AWS ha concordato di fornire processi di elaborazione per servizi AWS specifici. La pagina web sui sub-responsabili di AWS fornisce ulteriori informazioni sui sub-responsabili che AWS coinvolge in conformità con il DPA di AWS, per fornire attività di elaborazione sui dati dei clienti per loro conto. I sub-responsabili relativi a un singolo cliente dipenderanno dalla Regione AWS selezionata dal cliente e dai particolari servizi AWS utilizzati dal cliente.

Il whitepaper AWS Navigazione nella conformità ai requisiti di trasferimento dei dati dell'UE fornisce informazioni sui servizi e le risorse che AWS offre ai clienti per aiutarli a effettuare valutazioni sul trasferimento dei dati alla luce della sentenza Schrems II e alle seguenti raccomandazioni del Comitato europeo per la protezione dei dati. Il whitepaper descrive anche le misure supplementari principali adottate e rese disponibili da AWS per proteggere i dati dei clienti.

AWS offre ai clienti informazioni utili, tra cui diversi report di conformità eseguiti da enti di controllo terzi, che hanno verificato lo stato di conformità secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità mantenuti da AWS per la propria infrastruttura. Questi report mostrano ai nostri clienti che proteggiamo i dati personali che scelgono di elaborare in AWS. A titolo di esempio, possiamo citare la conformità di AWS con le norme ISO 27001, 27017 e 27018. La norma ISO 27018 contiene controlli di sicurezza volti alla protezione dei dati dei clienti.

AWS è inoltre conforme con il Codice di condotta CISPE per la protezione dei dati. Ulteriori informazioni sul Codice di condotta CISPE sono disponibili nella FAQ riportata di seguito, “AWS è conforme a un codice di condotta approvato del GDPR, specifico per i servizi di infrastruttura cloud?”

Sì. A giugno 2023, 107 servizi AWS sono conformi con il Codice di condotta per la protezione dei dati dei Provider di servizi di infrastruttura cloud in Europa (Cloud Infrastructure Services Providers in Europe, CISPE). CISPE è una coalizione di leader del cloud computing che servono milioni di clienti europei. Il Codice di condotta CISPE per la protezione dei dati (Codice CISPE) è il primo codice di condotta pan-europeo per la protezione dei dati incentrato sui provider di servizi di infrastruttura cloud. Il Codice CISPE è stato approvato dal Comitato europeo per la protezione dei dati, che agisce per conto di 27 autorità in materia di protezione dei dati in tutta Europa, ed è stato adottato formalmente dall'Autorità francese per la protezione dai dati (CNIL), che opera in qualità di principale autorità di vigilanza. Nel 2017 AWS ha annunciato la sua conformità con una versione precedente del Codice CISPE.

Il Codice CISPE aiuta i clienti a garantire che il proprio provider di servizi di infrastruttura cloud offra adeguate garanzie operative per dimostrare la conformità con il GDPR e proteggere i dati dei clienti. Alcuni vantaggi chiave del codice CISPE includono:

• Orientamento all'infrastruttura cloud: chiarisce il ruolo del provider di servizi di infrastruttura cloud ai sensi del GDPR per quanto riguarda il trattamento dei dati del cliente, ovvero qualsiasi dato personale elaborato per conto del cliente utilizzando il servizio di infrastruttura cloud.
• Dati in Europa: richiede ai provider di servizi di infrastruttura cloud di offrire ai clienti la possibilità di utilizzare servizi per archiviare ed elaborare i dati dei clienti esclusivamente all'interno dello Spazio economico europeo (SEE).
• Privacy dei dati: il Codice CISPE garantisce alle organizzazioni che i loro provider di servizi di infrastruttura cloud soddisfino i requisiti applicabili ai dati personali elaborati per loro conto (dati dei clienti) nell'ambito del GDPR.

Il Certificato di conformità che illustra lo stato di conformità di AWS è disponibile nel Registro pubblico CISPE. I servizi AWS elencati sono stati verificati in modo indipendente come conformi al Codice CISPE. Il processo di verifica è stato condotto da Ernst & Young CertifyPoint (EY CertifyPoint), un organismo di monitoraggio indipendente riconosciuto a livello mondiale e accreditato dal CNIL.

Il GDPR non comporta una modifica del Modello di responsabilità condivisa AWS, che mantiene la sua rilevanza per i clienti. Il modello di responsabilità condivisa rappresenta un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di responsabile o sub-responsabile del trattamento dei dati) e dei clienti (come titolari o responsabili del trattamento dei dati) secondo il GDPR.

In base al modello di responsabilità condivisa, AWS è responsabile per la sicurezza dell'infrastruttura sottostante che supporta i servizi AWS (“Sicurezza DEL cloud”), e i clienti, in qualità di titolari o responsabili del trattamento, sono responsabili di tutti i dati personali che caricano sui servizi AWS (“Sicurezza NEL cloud”).

Responsabilità di AWS “Sicurezza del cloud”: AWS si occupa di proteggere l'infrastruttura globale su cui vengono eseguiti tutti i servizi AWS. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti potenti controlli quali la configurazione della sicurezza per gestire i contenuti dei loro clienti. AWS fornisce diversi report di conformità eseguiti da enti di controllo terzi, che hanno verificato la nostra conformità con una serie di standard e normative di sicurezza informatica (per ulteriori informazioni visita la pagina web sulla conformità di AWS). Questi report mostrano ai nostri clienti che stiamo proteggendo i dati dei loro clienti. Ad esempio, AWS è conforme alle norme AWS ISO 27001, 27017 e 27018. La norma ISO 27018 contiene controlli di sicurezza volti alla protezione dei dati dei clienti.

Responsabilità del cliente “Sicurezza nel Cloud”: i clienti AWS sono responsabili dell'architettura e della protezione dell'applicazione, e delle soluzioni che scelgono di implementare sui servizi AWS. I clienti AWS sono anche responsabili della configurazione dei servizi AWS in modo da proteggere le esigenze di riservatezza, integrità e sicurezza dei dati dei loro clienti. Le responsabilità specifiche che i clienti hanno per proteggere i dati dei clienti variano a seconda dei servizi AWS che i clienti scelgono di utilizzare e di come tali servizi sono integrati negli ambienti IT dei clienti. I clienti AWS hanno visibilità e controllo sui dati dei propri clienti e possono implementare controlli di sicurezza flessibili in base alla sensibilità del tipo specifico di dati dei clienti. I clienti possono fare ciò utilizzando le proprie misure e strumenti di sicurezza oppure quelli messi a disposizione da AWS o da altri fornitori. In questo modo, i clienti possono mettere in atto ulteriori livelli di sicurezza per i dati più sensibili dei clienti.

AWS rende disponibili prodotti, strumenti e servizi che i clienti possono utilizzare per progettare e proteggere le loro applicazioni e soluzioni e che possono essere distribuiti per aiutare a gestire i requisiti del GDPR, tra cui:

• AWS Identity and Access Management (IAM) consente alle organizzazioni di gestire in maniera sicura l'accesso ai servizi e alle risorse AWS. Grazie a IAM, i clienti possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
• AWS CloudTrail permette alle organizzazioni di registrare log, eseguire un monitoraggio continuo e mantenere le informazioni su attività relative ad azioni in AWS e semplifica così analisi della sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi (AWS CloudTrail è attivato per impostazione predefinita su tutti gli account AWS).
• Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti fraudolenti o non autorizzati e facilitare così la protezione di carichi di lavoro e account AWS. Questo servizio monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o attività di ricognizione da parte di malintenzionati.
• Amazon Macie è uno strumento di machine learning che aiuta a rilevare e classificare i dati personali archiviati in Amazon S3.

Consulta il nostro whitepaper Conformità al regolamento generale sulla protezione dei dati in AWS per conoscere ulteriori dettagli su come utilizzare le risorse AWS in conformità con il GDPR.

Sì, è possibile cercare “GDPR” nello Strumento di ricerca di soluzioni dei partner AWS per trovare i partner ISV, MSP e SI che forniscono prodotti e servizi utili per la conformità con il GDPR. I clienti possono anche cercare soluzioni “GDPR” su AWS Marketplace.

Sì, il team di AWS Security Assurance Services dispone di una serie di attività per aiutare i clienti nel loro percorso verso la conformità al GDPR. Questo team di professionisti certificati nel settore della conformità aiuta i clienti a raggiungere, mantenere e automatizzare la conformità nel cloud collegando gli standard di conformità applicabili alle caratteristiche e funzionalità specifiche del servizio AWS. Ulteriori dettagli su come i consulenti di AWS Professional Services stanno aiutando i clienti sono disponibili qui.

I clienti possono utilizzare Supporto AWS per ricevere indicazioni tecniche che li aiutino nel loro percorso verso la conformità con il GDPR. Nell'ambito di questa attività sono disponibili team di Ingegneri di supporto cloud e Technical Account Manager (TAM) formati per aiutare a identificare e mitigare i rischi di conformità. Il livello di assistenza fornito da AWS dipende dal piano AWS Support scelto dai clienti. I clienti che desiderano scoprire i vantaggi offerti dal Supporto AWS Premium possono trovare ulteriori informazioni nel Centro di supporto AWS, disponibile attraverso la Console di gestione AWS, usando i dettagli di contatto specificati nel Contratto di supporto Enterprise stipulato con AWS o visitando la pagina web del Supporto AWS. In caso di domande sul GDPR, i clienti con il livello di assistenza Enterprise dovranno contattare il loro Technical Account Manager.

I clienti possono trovare utili nel perseguire la conformità con il GDPR i due programmi seguenti:

• Valutazione delle operazioni nel cloud: questo programma, disponibile ai clienti con Supporto AWS Enterprise, è stato progettato per aiutarli a identificare le carenze nell'approccio operativo nel cloud. Nasce da un set di best practice operative scaturite dall'esperienza di AWS con set di clienti di grandi dimensioni e fornisce una valutazione dell'operatività del cloud e delle relative prassi di gestione, che può aiutare a ottenere la conformità al regolamento. Questo programma usa un approccio basato su quattro princìpi, con particolare attenzione su preparazione monitoraggio, funzionamento e ottimizzazione di sistemi basati sul cloud per raggiungere l'eccellenza operativa.
• Valutazione Well-Architected: questo programma permette alle organizzazioni di confrontare l'architettura con le best practice di AWS e di creare un'architettura sicura, affidabile, ad alte prestazioni e a costi ridotti. Le valutazioni Well-Architected permettono inoltre a clienti di individuare i potenziali rischi della propria architettura e di risolverli prima che le applicazioni siano distribuite per la produzione.

AWS dispone di un processo di monitoraggio degli incidenti di sicurezza e di notifica delle violazioni dei dati e notificherà ai clienti le violazioni della sicurezza di AWS senza ritardi ingiustificati e in conformità con il DPA di AWS. Inoltre, AWS offre ai clienti numerosi strumenti per controllare chi ha eseguito l'accesso alle risorse, quando e da dove. Uno di tali strumenti è AWS CloudTrail, che offre funzionalità di governance, conformità, audit operativi e dei rischi di un account AWS. Con AWS CloudTrail è possibile registrare, monitorare in modo continuo e conservare le informazioni correlate alle attività dell'account all'interno dell'infrastruttura AWS. Ciò consente alle organizzazioni di avere un quadro completo di ciò che accade nell'infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su altri strumenti di sicurezza che AWS offre ai clienti per soddisfare gli obblighi in qualità di titolari del trattamento ai sensi del GDPR, visita la pagina web Sicurezza nel cloud AWS.

AWS offre a clienti e Partner APN numerosi strumenti con cui mettere in sicurezza i dati dei clienti e proteggerli dagli attacchi informatici. Uno di tali strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS e che utilizzano risorse di ELB, Amazon CloudFront e Amazon Route 53, i clienti e i partner APN posso iscriversi a AWS Shield Advanced. AWS, inoltre, pubblica e aggiorna regolarmente il documento Best practice di AWS per la resilienza agli attacchi DDoS, che aiuta i clienti a utilizzare AWS per creare applicazioni resilienti agli attacchi di tipo DDoS.

Altri strumenti offerti da AWS per proteggere i dati dei clienti dagli attacchi informatici includono:

• AWS Identity and Access Management (IAM) consente alle organizzazioni di gestire in maniera sicura l'accesso ai servizi e alle risorse AWS. Grazie a IAM, clienti e partner APN possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
• AWS Config consente a clienti e Partner APN di abilitare regole preconfezionate che aiutano a garantire la corretta configurazione e la conformità delle loro risorse AWS.
• AWS CloudTrail permette alle organizzazioni di registrare log, eseguire un monitoraggio continuo e mantenere le informazioni su attività relative ad azioni in AWS e semplifica così analisi della sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi (AWS CloudTrail è attivato per impostazione predefinita su tutti gli account AWS).
• Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti fraudolenti o non autorizzati e facilitare così la protezione di carichi di lavoro e account AWS. Questo servizio monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o attività di ricognizione da parte di malintenzionati.

Amazon Macie è un servizio completamente gestito per la sicurezza e la privacy dei dati che utilizza il machine learning e il pattern matching per individuare e proteggere i dati personali in AWS. Poiché le organizzazioni gestiscono volumi di dati sempre maggiori, l'identificazione e la tutela dei dati personali su vasta scala possono rivelarsi operazioni alquanto complesse e dispendiose in termini di tempo e risorse economiche. Amazon Macie automatizza l’individuazione dei dati personali su scala e riduce i costi relativi alla protezione dei tuoi dati. Macie fornisce automaticamente un inventario dei bucket di Amazon S3 tra cui un elenco di bucket non criptati, bucket pubblicamente accessibili e bucket condivisi con account AWS diversi da quelli definiti in AWS Organizations. Successivamente, Macie applica tecniche di machine learning e pattern matching ai bucket selezionati avvisandoti una volta individuati i dati personali.

Amazon Macie è un servizio certificato secondo norme riconosciute a livello internazionale, tra cui ISO 27017 per la sicurezza nel cloud e ISO 27018 per la privacy nel cloud. Clienti e Partner APN possono usare Macie per monitorare in modo continuo gli accessi ai dati al fine di individuare attività sospette in base ai modelli di accesso.

Per aiutare i clienti a soddisfare i requisiti del GDPR, AWS offre una serie di strumenti che consentono di controllare gli accessi ai dati personali archiviati in AWS. Di seguito sono elencati alcuni di questi strumenti.

• I servizi AWS sono stati progettati per garantire di default la massima protezione. Se viene applicata la configurazione predefinita, l'accesso alle risorse è limitato solo al proprietario dell'account e all'amministratore dell'account root.
• AWS Identity and Access Management (IAM) consente di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
• AWS Multi-Factor Authentication aggiunge un ulteriore livello di protezione a nome utente e password di un account AWS. AWS offre ai clienti dispositivi MFA virtuali e hardware.
• Servizio di directory AWS permette ai clienti di integrare e creare federazioni con directory aziendali per ridurre le spese amministrative e migliorare l'esperienza dell'utente finale.
• AWS Config consente ai clienti di abilitare regole preconfezionate che aiutano a garantire la corretta configurazione e la conformità delle loro risorse AWS.
• AWS CloudTrail permette ai clienti di registrare log, eseguire un monitoraggio continuo e mantenere le informazioni relative alle attività dell'account nell'infrastruttura AWS e semplifica così analisi della sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi (AWS CloudTrail è attivato per impostazione predefinita su tutti gli account AWS).
• Amazon Macie usa il machine learning per aiutare i clienti a prevenire la perdita di dati mediante operazioni automatiche di rilevamento, classificazione e protezione dei dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati che dovrebbero rimanere riservati.

AWS offre a clienti e Partner APN la possibilità di aggiungere un ulteriore livello di sicurezza ai dati a riposo dei clienti nel cloud per soddisfare gli obblighi in materia di sicurezza del trattamento in qualità di titolari del trattamento ai sensi del GDPR. Gli strumenti di crittografia disponibili su AWS includono:

• Funzionalità di crittografia dei dati disponibili in servizi di database e archiviazione AWS quali Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, RDS per SQL Server e Redshift
• Opzioni flessibili di gestione delle chiavi, tra cui AWS Key Management Service, che consentono di scegliere se demandare la gestione delle chiavi di crittografia ad AWS oppure affidare ai clienti il controllo completo delle chiavi
• Code di messaggi con crittografia per la trasmissione di dati sensibili attraverso la crittografia lato server (SSE) per Amazon SQS
• Archiviazione di chiavi crittografiche dedicata e basata su hardware con AWS CloudHSM, che consente ai clienti di soddisfare i requisiti di conformità

A clienti e Partner APN, AWS fornisce inoltre API che consentono di integrare la crittografia e la protezione dei dati con qualsiasi servizio da loro sviluppato o implementato in un ambiente AWS.

AWS fornisce funzionalità e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:

Controllo accessi: solo le applicazioni, gli utenti e gli amministratori autorizzati possono accedere alle risorse AWS

• Autenticazione a più fattori o MFA (Multi-Factor Authentication)
• Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
• Autenticazione delle richieste API
• Restrizioni geografiche
• Token di accesso temporaneo attraverso AWS Security Token Service

Monitoraggio e registrazione di log: è possibile ottenere una panoramica delle attività sulle risorse AWS

• Gestione e configurazione delle risorse con AWS Config
• Audit di conformità e analisi della sicurezza con AWS CloudTrail
• Identificazione dei problemi di configurazione attraverso AWS Trusted Advisor
• Registrazione di log di accesso agli oggetti Amazon S3 con granularità fine
• Informazioni dettagliate sui flussi nella rete attraverso ilog dei flussi VPC di Amazon
• Controlli e azioni di configurazione basati su regole con AWS Config Rules
• Applicazione di filtri e monitoraggio dell'accesso HTTP alle applicazioni con le funzioni AWS WAF in AWS CloudFront

Crittografia: crittografia dei dati su AWS

• Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
• Key Management gestito in modo centralizzato (per regione AWS)
• Tunnel IPsec in AWS con i gateway VPN
• Moduli HSM dedicati nel cloud con AWS CloudHSM

Quadro di conformità e standard di sicurezza rigorosi: dimostriamo la conformità con rigorosi standard internazionali, quali:

• ISO 27001 per le misure tecniche
• ISO 27017 per la sicurezza nel cloud
• ISO 27018 per la privacy del cloud
• SOC 1, SOC 2 e SOC 3, PCI DSS di livello 1,
• Catalogo dei controlli comuni per il cloud computing di BSI (C5)
• ENS Alto

Il GDPR è un regolamento dell'UE e, in seguito alla Brexit, non è più valido per il Regno Unito.  Il governo del Regno Unito ha incorporato i requisiti del GDPR nella legge del Regno Unito come "GDPR del Regno Unito".

AWS offre un Addendum al GDPR del Regno Unito conforme con il GDPR per il DPA di AWS che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati ai sensi del GDPR del Regno Unito. Tale Addendum al GDPR del Regno Unito fa parte dei Termini di servizio di AWS e si applica automaticamente a tutti i clienti che richiedono un contratto di elaborazione dei dati per conformarsi con il GDPR del Regno Unito.

L'Addendum al GDPR del Regno Unito, che fa parte dei Termini di servizio di AWS, include le SCC adottate dalla Commissione europea (CE) e l'addendum sul trasferimento internazionale dei dati (IDTA) emesso dall'autorità di regolamentazione della protezione dei dati del Regno Unito (Information Commissioners Office).  L'IDTA modifica le SCC per garantire che costituiscano una protezione appropriata ai sensi del GDPR del Regno Unito per i trasferimenti internazionali di dati verso paesi al di fuori del Regno Unito che non sono stati riconosciuti come fornitori di un livello adeguato di protezione dei dati personali (paesi terzi del Regno Unito). L'Addendum al GDPR del Regno Unito conferma che le SCC (come modificate dall'IDTA) vengono applicate automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti soggetti al GDPR del Regno Unito (dati clienti Regno Unito) a paesi terzi rispetto a quest'ultimo.  Nell'ambito dell'Addendum al GDPR del Regno Unito all'interno dei Termini di servizio di AWS, le SCC (come modificate dall'IDTA) vengono applicate automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti del Regno Unito a paesi terzi rispetto al Regno Unito.

AWS offre un Addendum svizzero all'Addendum sull'elaborazione dei dati AWS (l'“Addendum svizzero”) che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati ai sensi della Legge federale svizzera sulla protezione dei dati (“FDPA”). L'Addendum svizzero fa parte dei Termini di servizio di AWS (vedi Sezione 1.14.4) e viene applicato automaticamente quando l'FDPA copre l'uso dei servizi AWS da parte di un cliente per elaborare i dati dei clienti.

L'Addendum svizzero all'Addendum sul trattamento dei dati di AWS, che fa parte dei Termini di servizio di AWS (vedi Sezione 1.14.4), include le clausole contrattuali standard (le “SCC”) adottate dalla Commissione europea e modificate come richiesto dal Commissario federale svizzero per la protezione dei dati e l'informazione. L'Addendum svizzero conferma che le SCC (come modificate dall'Addendum svizzero) si applicheranno automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti soggetti all'FDPA a paesi terzi.

In caso di domande sul GDPR, consigliamo ai clienti di contattare innanzitutto l'Account manager di AWS. Se i clienti sono registrati per il piano di assistenza Enterprise, possono anche contattare il loro Technical Account Manager (TAM). Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. Inoltre, insieme al team dedicato all'account, può indirizzare clienti e partner APN verso specifiche risorse in base al loro ambiente e alle loro esigenze.

AWS dispone anche di team di rappresentanti del Supporto Enterprise, consulenti di servizi professionali e altro personale che potrà essere utile in caso di domande sul GDPR. Per qualsiasi domanda, contattaci qui.