Centro do Regulamento geral de proteção de dados (GDPR)

Conformidade com o RGPD ao usar produtos da AWS

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia garante aos cidadãos da União Europeia (UE) o direito fundamental à privacidade e à segurança de seus dados pessoais. O RGPD inclui requisitos robustos que elevam e harmonizam os padrões de proteção, segurança e conformidade dos dados. Consulte nossas perguntas frequentes sobre o RGPD abaixo para obter mais informações.

Todos os serviços da AWS podem ser usados pelos clientes da AWS para o processamento de dados pessoais (segundo a definição do RGPD) que forem carregados nos serviços da AWS sob suas contas da AWS (dados do cliente), em conformidade com o RGPD. Além da nossa própria conformidade, a AWS está comprometida em oferecer produtos e recursos a seus clientes a fim de ajudá-los a cumprir os requisitos do RGPD aplicáveis às suas atividades. Com lançamentos frequentes de novos recursos, a AWS conta com mais de 500 recursos e serviços dedicados à segurança e à conformidade. Para obter mais informações sobre as iniciativas da AWS, leia a nossa publicação no blog How AWS is helping EU customers navigate the new normal for data protection.

Em foco

Controle do cliente

Os clientes têm controle sobre seus dados de clientes. Com a AWS, os clientes podem:

  • Determinar onde os dados do cliente serão armazenados, incluindo o tipo de armazenamento e a região geográfica desse armazenamento.
  • Escolher o estado seguro dos dados do cliente. Oferecemos a nossos clientes criptografia robusta aos seus dados em trânsito ou em repouso, bem como a opção de gerenciar suas próprias chaves de criptografia.
  • Gerenciar o acesso aos seus dados e aos produtos e recursos da AWS por meio de usuários, grupos, permissões e credenciais controlados pelo cliente.

Transferências para fora do Espaço Econômico Europeu (EEE)

Os clientes da AWS podem continuar a usar os serviços da AWS para transferir dados de clientes do EEE para países não pertencentes ao EEE que ainda não receberam uma decisão de adequação da Comissão Europeia (incluindo os Estados Unidos), em conformidade com o RGPD. Na AWS, garantimos que a segurança dos dados dos clientes seja nossa principal prioridade. Além disso, implementamos medidas técnicas e organizacionais rigorosas para assegurar a confidencialidade, a integridade e a disponibilidade dos dados, independentemente da região da AWS selecionada pelo cliente. Sabemos que a transparência é importante para nossos clientes. Os serviços da AWS que envolvem a transferência de dados dos clientes estão listados na nossa página de Recursos de privacidade.

Conforme o ambiente regulatório e legislativo se desenvolve, nos empenharemos para assegurar que nossos clientes possam continuar desfrutando dos benefícios dos serviços da AWS, independentemente da localidade em que operem. Consulte nossa atualização para clientes sobre o Privacy Shield entre a UE e os EUA e nossas publicações no blog sobre o Adendo Suplementar para o Adendo de Processamento de Dados da AWS e sobre o Código de Conduta de Proteção de Dados da CISPE para obter mais informações.

Visão geral e noções básicas do RGPD

Abrir tudo

O Regulamento Geral de Proteção de Dados (RGPD) é uma lei de privacidade europeia que entrou em vigor em 25 de maio de 2018. O RGPD substituiu a Diretiva de Proteção de Dados da UE, também conhecida como Diretiva 95/46/EC, e buscou harmonizar as legislações de proteção de dados em toda a União Europeia (UE) com a aplicação de uma única lei de proteção de dados, com caráter obrigatório em todos os estados membros.

O RGPD aplica-se a todas as organizações estabelecidas na UE e às organizações, quer estejam estabelecidas ou não na UE, que processam dados pessoais de indivíduos da UE para fins de oferta de mercadorias ou serviços a titulares de dados na UE ou para fins de monitoramento de comportamento ocorrido dentro da UE. Dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou identificável, incluindo nomes, endereços de e-mail e números de telefone.

A AWS atua como tanto como processador de dados quanto como controlador de dados de acordo com o RGPD.

  • AWS como processador de dados: quando os clientes usam os serviços da AWS para processar dados pessoais no conteúdo que eles carregam para os serviços da AWS, a AWS atua como processador de dados. Os clientes podem usar os controles disponíveis em produtos da AWS, incluindo os controles de configuração de segurança, para processar dados pessoais. Nessas circunstâncias, o cliente pode atuar como um controlador de dados ou como o próprio processador de dados, e a AWS atua como processadora ou subprocessadora de dados. A AWS oferece um Adendo de Processamento de Dados da AWS (DPA da AWS) compatível com o RGPD que incorpora os compromissos da AWS como processador de dados. O DPA da AWS, que inclui as Cláusulas Contratuais Padrão, faz parte dos Termos de Serviço da AWS e está automaticamente disponível para todos os clientes que necessitam dele para estar em conformidade com o RGPD.
  • AWS como controlador de dados: quando a AWS coleta dados pessoais e determina as finalidades e os meios de processamento desses dados pessoais, por exemplo, quando a AWS armazena informações de conta (como endereços de e-mail fornecidos durante o registro da conta) para registro de conta, administração, acesso a serviços ou informações de contato da conta da AWS para fornecer assistência por meio de atividades de suporte ao cliente, ela atua como controlador de dados. Consulte a Notificação de Privacidade da AWS para obter detalhes sobre como a AWS processa dados pessoais na condição de controlador.

As SCCs são um mecanismo de transferência de dados aprovado previamente pelo RGPD, aplicável em todos os países membros da UE, que viabiliza a transferência legal de dados pessoais para países externos ao Espaço Econômico Europeu que não receberam uma decisão de adequação da Comissão Europeia (países terceiros).

Os Termos de Serviço da AWS incluem as SCCs adotadas pela Comissão Europeia (CE) em junho de 2021, e o DPA da AWS confirma que as SCCs serão aplicadas automaticamente sempre que um cliente da AWS usar os serviços da AWS para transferir dados de clientes para países externos ao Espaço Econômico Europeu que não receberam uma decisão de adequação da CE (países terceiros). Como parte dos Termos de Serviço da AWS, as novas SCCs serão aplicadas automaticamente sempre que um cliente usar os serviços da AWS para transferir dados do cliente para países terceiros. Os poucos clientes que assinaram um DPA da AWS podem continuar a confiar nesse DPA da AWS porque as novas SCCs nos Termos de Serviço da AWS substituem a versão anterior das SCCs. Os clientes podem, portanto, ficar tranquilos com o fato de que quaisquer dados de clientes transferidos para países terceiros usando os serviços da AWS têm o mesmo alto nível de proteção que os dados de clientes recebem no EEE. Para obter mais informações, consulte a publicação do blog sobre a implementação das novas Cláusulas Contratuais Padrão.

Conformidade com AWS e GDPR seguindo a norma Schrems II e recomendações EDPB

Abrir tudo

Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) emitiu uma decisão sobre a transferência de dados pessoais de indivíduos da UE para localidades externas ao EEE (Schrems II). No Schrems II, o TJUE decidiu que o Privacy Shield entre U e EUA não era mais um mecanismo válido para transferir dados pessoais do EEE para os EUA. No entanto, na mesma decisão, o TJUE confirmou que as empresas podem (sujeito à implementação de medidas complementares, se necessário) continuar usando as cláusulas contratuais padrão como um mecanismo válido para a transferência de dados pessoais para fora do EEE. O Comitê Europeu para a Proteção de Dados (CEPD), um órgão europeu composto por representantes das autoridades nacionais de proteção de dados, desde então forneceu uma lista não exaustiva de medidas complementares em suas “Recomendações 01/2020 relativas às medidas complementares aos instrumentos de transferência para assegurar o cumprimento do nível de proteção dos dados pessoais da UE” (Recomendações do CEPD).

As Recomendações do CEPD fornecem aos exportadores de dados exemplos de medidas complementares que poderiam ser implementadas. Consulte a pergunta frequente “É possível continuar a usar os serviços da AWS após a decisão Schrems II?” abaixo para obter detalhes sobre os recursos de transferência de dados da AWS.

Sim, os clientes da AWS podem continuar usando os produtos da AWS para transferir dados do cliente da Europa para países fora do EEE que não receberam uma decisão de adequação da Comissão Europeia. A decisão Schrems II validou o uso de cláusulas contratuais padrão (SCCs) como um mecanismo para transferência de dados de clientes para fora do EEE, e os clientes da AWS podem continuar confiando nas SCCs para qualquer transferência de dados de clientes para fora do EEE em compatibilidade com o RGPD.

  • Localidade de processamento. Os clientes selecionam a região da AWS na qual seus dados de clientes serão armazenados. Uma visão geral das regiões da AWS disponíveis pode ser encontrada em Regiões e zonas de disponibilidade. A AWS não processará dados do cliente fora da região da AWS selecionada pelo cliente, a menos que seja necessário para o propósito de fornecer os produtos da AWS iniciados pelo cliente, ou conforme necessário para cumprir a lei ou uma ordem vinculativa de um órgão governamental. Consulte nossa página Recursos de privacidade para saber mais informações sobre as transferências de dados como parte dos serviços da AWS.
  • Subprocessadores. A AWS pode usar subprocessadores, ou seja, afiliadas da AWS ou terceiros, para auxiliar no processamento de dados do cliente, para cumprir nossas obrigações com os clientes segundo o DPA da AWS ou para fornecer serviços em nosso nome. Consulte a pergunta frequente “A AWS usa subprocessadores para processar dados de clientes?” abaixo para obter mais detalhes.
  • Ferramentas de transferência. Considerando que a decisão Schrems II validou o uso de SCCs como um mecanismo para transferir dados para países externos ao EEE que não receberam uma decisão de adequação da Comissão Europeia, nossos clientes podem continuar a confiar nos SCCs incluídos no DPA da AWS, caso decidam transferir seus dados para alguma localidade externa ao EEE em conformidade com o GDPR.
  • Medidas complementares.
    • Controle do cliente. Os clientes têm propriedade e controle sobre seus dados de cliente a todo momento por meio de ferramentas simples, mas eficazes, que permitem determinar onde os dados do cliente serão armazenados, proteger os dados do cliente em trânsito e em repouso e gerenciar o acesso do usuário aos seus recursos da AWS e modificar, excluir e recuperar dados de cliente.
    • Medidas técnicas e organizacionais. A AWS implementa controles e processos técnicos e físicos responsáveis e sofisticados, projetados para impedir o acesso ou a divulgação não autorizados de dados do cliente (acesse a página Conformidade da AWS para obter mais informações). Também fornecemos uma série de serviços de gerenciamento de chaves e criptografia avançada (incluindo serviços que permitem aos clientes gerenciar suas próprias chaves) que os clientes podem usar para proteger seus dados de cliente em trânsito e em repouso; os dados de cliente criptografados tornam-se inacessíveis sem as chaves de descriptografia aplicáveis. Independentemente de os dados do cliente serem criptografados ou não, sempre trabalharemos atentamente para proteger os dados do cliente de qualquer acesso não autorizado.
    • Solicitações de órgãos de aplicação da lei. A AWS tem processos internos para lidar com solicitações que recebemos de órgãos de aplicação da lei. Quando recebemos uma solicitação de dados de clientes de órgãos de aplicação da lei, nós a analisamos cuidadosamente para garantir a precisão e verificar se é apropriada e se está em conformidade com todas as leis aplicáveis. A menos que seja legalmente proibida de fazer isso, a AWS notificará os clientes antes de divulgar os dados, para que eles possam tomar outras medidas para buscar proteção contra divulgação. No Adendo Suplementar ao DPA da AWS (Adendo Suplementar), a AWS assume compromissos contratuais reforçados em relação ao tratamento de solicitações governamentais de dados de clientes, incluindo o compromisso de (i) usar todos os esforços razoáveis para redirecionar qualquer órgão governamental que solicite dados de clientes para o cliente relevante, (ii) notificar prontamente o cliente sobre a solicitação, se legalmente permitido (incluindo o uso de todos os esforços razoáveis e legais para obter uma renúncia de proibição, se necessário), (iii) contestar qualquer solicitação excessivamente abrangente ou inadequada, inclusive quando a solicitação entrar em conflito com a legislação da UE, e (iv) se, após esgotar as etapas descritas acima, a AWS ainda for obrigada a divulgar dados de clientes em resposta a uma solicitação governamental, divulgar apenas a quantidade mínima de dados de clientes necessária para satisfazer a solicitação.
    • Medidas contratuais. A AWS assume diversos compromissos contratuais com as medidas descritas acima, que estão refletidos no DPA da AWS e no Adendo Suplementar. O DPA da AWS e o Anexo Complementar incluem compromissos contratuais da AWS referentes (1) à seleção do cliente das regiões da AWS nas quais os dados do cliente são armazenados e processados, (2) às medidas técnicas e organizacionais que a AWS implementou para proteger a infraestrutura da AWS e às medidas organizacionais técnicas que os clientes podem optar por aplicar para proteger seus dados de cliente, (3) às medidas da AWS para proteger os dados do cliente e informar o cliente em caso de uma solicitação de divulgação de dados de um órgão governamental, e (4) à capacidade da AWS de cumprir suas obrigações estabelecidas no DPA da AWS em conformidade com a legislação aplicável em um terceiro país no qual os dados do cliente sejam processados. O Anexo Complementar também aborda (5) os direitos legais dos indivíduos de reivindicar indenização em caso de violação de seus direitos concedidos pelo RGPD.

Sim, a AWS pode usar três tipos de subprocessadores: (1) entidades da AWS que fornecem a infraestrutura na qual os produtos da AWS são executados; (2) entidades da AWS que oferecem suporte a produtos específicos da AWS que podem exigir que essas entidades processem os dados dos clientes; e (3) terceiros que a AWS contratou para fornecer atividades de processamento para serviços específicos da AWS. A página de subprocessadores da AWS fornece informações adicionais sobre os subprocessadores que a AWS utiliza em conformidade com o DPA da AWS, para realizar atividades de processamento de dados de clientes em nome dos clientes. Os subprocessadores relevantes para um cliente individual dependerão da região da AWS selecionada pelo cliente e/ou dos serviços específicos da AWS que o cliente usa.

O whitepaper da AWS, intitulado Navigating Compliance with EU Data Transfer Requirements, fornece informações sobre os serviços e recursos que a AWS oferece aos clientes para ajudá-los a realizar avaliações de transferência de dados em vista da decisão Schrems II e das recomendações subsequentes do Comitê Europeu para a Proteção de Dados. O documento também descreve as principais medidas complementares adotadas e disponibilizadas pela AWS para proteger dados do cliente.

A AWS oferece informações úteis aos clientes, incluindo diversos relatórios de conformidade produzidos por auditores terceirizados, que verificaram nossa conformidade em relação a uma variedade de padrões e regulamentos de segurança, para provar os altos níveis de conformidade que a AWS mantém em sua infraestrutura. Esses relatórios mostram aos nossos clientes que estamos protegendo os dados que eles optam por processar na AWS. Alguns exemplos disso incluem a conformidade da AWS com os padrões ISO 27001, 27017 e 27018. A ISO 27018 contém controles de segurança que se concentram na proteção dos dados do cliente.

Além disso, a AWS está em conformidade com o Código de Conduta da CISPE para a proteção de dados. Mais informações sobre o Código de Conduta da CISPE podem ser encontradas na pergunta frequente abaixo, “A AWS está em conformidade com um Código de Conduta aprovado pelo RGPD específico para serviços de infraestrutura de nuvem?

Sim. Em junho de 2023, 107 serviços da AWS estavam em conformidade com o Código de Conduta para Provedores de Serviço de Infraestrutura de Nuvem na Europa (CISPE) em relação à Proteção de Dados. A CISPE representa uma coalizão de líderes em computação em nuvem que atende milhões de clientes europeus. O Código de Conduta da CISPE em relação à Proteção de Dados (Código da CISPE), é o primeiro código de conduta de proteção de dados pan-europeu centrado em provedores de serviços de infraestrutura de nuvem. O Código da CISPE foi aprovado pelo Comitê Europeu para a Proteção de Dados, atuando em nome das 27 autoridades de proteção de dados em toda a Europa, e formalmente adotado pela Autoridade Francesa de Proteção de Dados (CNIL), que atua como a principal autoridade de supervisão. Em 2017, a AWS anunciou sua conformidade com uma versão anterior do Código da CISPE.

O Código da CISPE ajuda os clientes a garantir que seu provedor de serviços de infraestrutura de nuvem ofereça garantias operacionais adequadas para demonstrar conformidade com o RGPD e proteger os dados dos clientes. Alguns dos principais benefícios do Código da CISPE incluem:

  • Foco na infraestrutura de nuvem: com o esclarecimento do papel do provedor de serviços de infraestrutura de nuvem ao abrigo do RGPD em relação ao processamento de dados dos clientes, isto é, quaisquer dados pessoais processados em nome de um cliente usando o serviço de infraestrutura de nuvem.
  • Dados na Europa: requer que os provedores de serviços de infraestrutura de nuvem ofereçam aos clientes a opção de usar serviços para armazenar e processar dados de clientes exclusivamente no Espaço Econômico Europeu (EEA).
  • Privacidade de dados: o Código da CISPE garante às organizações que seus provedores de serviços de infraestrutura de nuvem atendam aos requisitos aplicáveis aos dados pessoais processados em seu nome (dados do cliente) de acordo com o RGPD.

O Certificado de Conformidade que ilustra o status de conformidade da AWS está disponível no Registro Público da CISPE. Os serviços da AWS listados foram verificados de forma independente, estando em conformidade com o Código CISPE. O processo de verificação foi conduzido pela Ernst & Young CertifyPoint (EY CertifyPoint), um órgão de monitoramento independente, reconhecido globalmente e credenciado pela CNIL.

Medidas técnicas e organizacionais

Abrir tudo

O RGPD não altera o Modelo de Responsabilidade Compartilhada da AWS, que permanece relevante para os clientes. O modelo de responsabilidade compartilhada é uma abordagem útil para ilustrar as diferentes responsabilidades da AWS (como processadora ou subprocessadora de dados) e dos clientes (como controladores ou processadores de dados) nos termos do RGPD.

No modelo de responsabilidade compartilhada, a AWS é responsável por proteger a infraestrutura subjacente que fornece suporte aos serviços da AWS (“Segurança “DA” nuvem”), e os clientes, atuando como controladores de dados ou processadores de dados, são responsáveis por todos os dados pessoais que enviam para os serviços da AWS (“Segurança “NA” nuvem”).

Responsabilidade da AWS com a “Segurança da nuvem”: a AWS é responsável por proteger a infraestrutura global que executa todos os serviços da AWS. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os produtos da AWS e oferecem controles avançados aos clientes, incluindo controles de configuração de segurança, para processar o conteúdo dos clientes. A AWS disponibiliza diversos relatórios de conformidade produzidos por auditores terceirizados que verificaram nossa conformidade em relação a uma variedade de padrões e regulamentos de segurança de computadores (para mais informações, acesse a página Conformidade da AWS). Esses relatórios mostram aos nossos clientes que estamos protegendo os dados de cliente. Alguns exemplos de conformidade da AWS incluem os padrões ISO 27001, 27017 e 27018. A ISO 27018 contém controles de segurança que se concentram na proteção dos dados do cliente.

Responsabilidade do cliente com a “Segurança na nuvem”: os clientes da AWS são responsáveis por arquitetar e proteger as aplicações e as soluções que optam por implantar nos serviços da AWS. Os clientes da AWS também são responsáveis por configurar os produtos da AWS de forma a proteger o sigilo, a integridade e as necessidades de segurança dos dados de seus clientes. As responsabilidades específicas dos clientes para proteger seus dados de cliente variam de acordo com os produtos da AWS que eles escolhem usar e como esses produtos são integrados aos ambientes de TI dos clientes. Os clientes da AWS têm visibilidade e controle sobre seus dados de cliente e podem implementar controles de segurança flexíveis com base no sigilo do tipo específico de dados do cliente. Os clientes podem fazer isso utilizando suas próprias medidas e ferramentas de segurança ou utilizando as medidas e ferramentas de segurança disponibilizadas pela AWS ou outros fornecedores. Dessa forma, os clientes podem implementar camadas adicionais de segurança para dados mais sigilosos do cliente.

A AWS disponibiliza produtos, ferramentas e serviços que os clientes podem usar para arquitetar e proteger suas aplicações e soluções e que podem ser implantados para ajudar a lidar com os requisitos do RGPD, incluindo:

  • O AWS Identity and Access Management (IAM), que permite às organizações gerenciar o acesso aos serviços e recursos da AWS de forma segura. Ao usar o IAM, os clientes podem criar e gerenciar usuários e grupos da AWS, bem como usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
  • O AWS CloudTrail, que permite que as organizações realizem registros em log, monitorem continuamente e retenham informações sobre a atividade da conta relacionada a ações na AWS, o que simplifica a análise de segurança, o rastreamento de alterações de recursos e a solução de problemas. Por padrão, o AWS CloudTrail está habilitado em todas as contas da AWS.
  • O Amazon GuardDuty, que é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos maliciosos ou não autorizados para ajudar a proteger workloads e contas da AWS. O serviço monitora atividades que podem indicar um possível comprometimento de uma conta, como chamadas de API incomuns ou implantações potencialmente não autorizadas. O GuardDuty também detecta instâncias possivelmente comprometidas ou atividades de reconhecimento por invasores.
  • O Amazon Macie , que é uma ferramenta de machine learning para auxiliar na descoberta e na classificação de dados pessoais armazenados no Amazon S3.

Consulte nosso whitepaper, Entendendo a conformidade com o GDPR na AWS, para obter mais detalhes sobre como usar os recursos da AWS em conformidade com o RGPD.

Sim, você pode pesquisar por “RGPD” no Localizador de Soluções de Parceiros da AWS para encontrar ISVs, MSPs e parceiros SI que disponibilizam produtos e serviços para ajudar com a conformidade ao RGPD. Além disso, os clientes podem pesquisar soluções alinhadas ao “RGPD” no AWS Marketplace.

Sim. A equipe de serviços de garantia de segurança da AWS tem uma série de atividades para ajudar os clientes em sua jornada de conformidade com o RGPD. Essa equipe de profissionais de conformidade certificados pelo setor ajuda os clientes a alcançar, manter e automatizar a conformidade na nuvem, unindo os padrões de conformidade aplicáveis aos recursos e funcionalidades específicos do produto da AWS. Mais detalhes sobre como os consultores do AWS Professional Services estão ajudando os clientes podem ser encontrados aqui.

Os clientes podem recorrer ao AWS Support para obter orientação técnica que os auxilie na jornada rumo à conformidade com o RGPD. Como parte dessa atividade, temos equipes de engenheiros de suporte de nuvem e gerentes de conta técnicos (TAMs) treinados para ajudar a identificar e reduzir riscos de conformidade. O nível de suporte que a AWS oferece depende do plano do AWS Support escolhido pelos clientes. Os clientes que desejam compreender como o AWS Premium Support pode ajudá-los podem encontrar mais informações no AWS Support Center, disponível por meio do Console de Gerenciamento da AWS, ao usar os detalhes de contato especificados no Contrato do Enterprise Support firmado com a AWS, ou ao acessar a página do AWS Support. Os clientes com Enterprise Support devem entrar em contato com seu TAM em caso de dúvidas relacionadas ao RGPD.

Os clientes podem considerar os seguintes dois programas úteis ao procurarem a conformidade com o RGPD:

  • Cloud Operations Review: disponível para clientes do AWS Enterprise Support, este programa foi criado para ajudar na identificação de lacunas na sua abordagem à operação na nuvem. Com origem em um conjunto de melhores práticas operacionais obtidas da experiência da AWS com um grande número de clientes representativos, o programa fornece uma análise das operações na nuvem e das práticas de gerenciamento associadas, o que pode ajudar as organizações em sua jornada rumo à conformidade com o GDPR. O programa usa uma abordagem com quatro pilares, priorizando a preparação, o monitoramento, a operação e a otimização de sistemas baseados na nuvem para alcançar a excelência operacional.
  • Well-Architected Review: este programa permite que as organizações avaliem sua arquitetura em relação às práticas recomendadas da AWS e desenvolvam arquiteturas seguras, confiáveis, de alta performance e econômicas. Com as análises Well-Architected, os clientes também podem compreender onde estão os riscos em sua arquitetura e abordá-los antes que as aplicações entrem em produção.

A AWS dispõe de um processo de monitoramento de incidentes de segurança e notificação de violação de dados em vigor e notificará os clientes sobre violações da segurança da AWS sem demora indevida e de acordo com o DPA da AWS. Além disso, a AWS oferece aos clientes diversas ferramentas para compreender quem tem acesso a seus recursos, bem como o momento e o local do acesso. Uma dessas ferramentas é o AWS CloudTrail, que possibilita a governança, a conformidade, a auditoria operacional e a auditoria de risco de uma conta da AWS. Com o AWS CloudTrail, os clientes podem registrar, monitorar continuamente e reter informações sobre a atividade da conta relacionada às ações executadas na infraestrutura da AWS. Dessa forma, as organizações compreendem o que ocorre em sua infraestrutura na AWS e podem tomar medidas imediatas em caso de atividades incomuns. Para obter mais informações sobre outras ferramentas de segurança que a AWS fornece aos clientes para ajudar no cumprimento de suas obrigações como controladores de dados ao abrigo do RGPD, acesse a página Segurança na Nuvem AWS.

A AWS fornece aos clientes e aos parceiros da APN diversas ferramentas para proteger seus dados de clientes e auxiliar na proteção contra ataques cibernéticos. Uma dessas ferramentas é o AWS Shield. O AWS Shield é um serviço gerenciado de proteção contra ataques distribuídos de negação de serviço (DDoS) que mantém a segurança de sites e aplicativos executados na AWS. O AWS Shield Standard é disponibilizado gratuitamente e oferece detecção sempre ativa e mitigações em linha automáticas que podem minimizar o tempo de inatividade e a latência dos aplicativos. Para obter níveis mais altos de proteção contra ataques direcionados a aplicativos web executados na AWS que usam recursos dos serviços ELB, Amazon CloudFront e Amazon Route 53, os clientes e os parceiros do APN podem assinar o AWS Shield Advanced. Além disso, a AWS publica e atualiza regularmente as Práticas recomendadas da AWS para resiliência a DDoS, que podem ajudar os clientes a usar a AWS para desenvolver aplicações resilientes a ataques de DDoS.

Outras ferramentas que a AWS dispõe para ajudar a proteger os dados dos clientes contra ataques cibernéticos incluem:

  • O AWS Identity and Access Management (IAM), que permite às organizações gerenciar o acesso aos serviços e recursos da AWS de forma segura. Ao usar o IAM, os clientes e parceiros da AWS podem criar e gerenciar usuários e grupos da AWS, bem como usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
  • O AWS Config, que permite aos clientes e aos parceiros da APN habilitar regras configuradas previamente que ajudam a garantir que seus recursos da AWS estejam em um estado devidamente configurado e em conformidade.
  • O AWS CloudTrail, que permite que as organizações realizem registros em log, monitorem continuamente e retenham informações sobre a atividade da conta relacionada a ações na AWS, o que simplifica a análise de segurança, o rastreamento de alterações de recursos e a solução de problemas. Por padrão, o AWS CloudTrail está habilitado em todas as contas da AWS.
  • O Amazon GuardDuty, que é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos maliciosos ou não autorizados para ajudar a proteger workloads e contas da AWS. O serviço monitora atividades que podem indicar um possível comprometimento de uma conta, como chamadas de API incomuns ou implantações potencialmente não autorizadas. O GuardDuty também detecta instâncias possivelmente comprometidas ou atividades de reconhecimento por invasores.

O Amazon Macie é um serviço totalmente gerenciado de segurança e privacidade de dados que usa machine learning e correspondência de padrões para realizar descobertas e proteger seus dados pessoais na AWS. À medida que as organizações gerenciam volumes crescentes de dados, identificar e proteger seus dados pessoais em escala pode se tornar cada vez mais complexo, caro e demorado. O Amazon Macie automatiza a descoberta de dados pessoais em escala e reduz o custo da proteção de seus dados. O Macie fornece automaticamente um inventário de buckets do Amazon S3, incluindo uma lista de buckets não criptografados, buckets acessíveis ao público e buckets compartilhados com as contas da AWS, além dos definidos por você no AWS Organizations. Em seguida, o Macie aplica técnicas de machine learning e de correspondência de padrões aos buckets selecionados para identificar e alertar sobre dados pessoais.

O Amazon Macie é certificado de acordo com padrões reconhecidos internacionalmente, como o ISO 27017 para segurança na nuvem e o ISO 27018 para privacidade na nuvem. Os clientes e os parceiros da APN também podem usar o Macie para monitorar continuamente o acesso aos seus dados, a fim de detectar atividades suspeitas com base em padrões de acesso.

A fim de auxiliar os clientes na conformidade com o RGPD, a AWS dispõe de várias ferramentas para controlar o acesso aos dados pessoais presentes no seu conteúdo na AWS. Essas ferramentas incluem:

  • Segurança por padrão significa que os serviços da AWS são projetados para serem seguros por padrão. Se a configuração padrão for usada, o acesso aos recursos será limitado apenas ao proprietário da conta e ao administrador root.
  • O AWS Identity and Access Management (IAM) possibilita que os clientes gerenciem o acesso aos serviços e recursos da AWS de forma segura. Ao usar o IAM, as organizações podem criar e gerenciar usuários e grupos da AWS e usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
  • A AWS Multi-Factor Authentication adiciona uma camada adicional de proteção além do nome de usuário e senha de uma conta da AWS. A AWS oferece aos clientes a opção de dispositivos MFA virtuais e de hardware.
  • O AWS Directory Service permite que os clientes realizem a integração e a federação com diretórios corporativos para reduzir a sobrecarga administrativa e aprimorar a experiência do usuário final.
  • O AWS Config permite que os clientes habilitem regras configuradas previamente que ajudam a garantir que seus recursos da AWS estejam em um estado devidamente configurado e em conformidade.
  • O AWS CloudTrail permite que os clientes realizem registros em log, monitorem continuamente e retenham informações sobre a atividade da conta relacionada a ações em toda a sua infraestrutura da AWS, o que simplifica a análise de segurança, o rastreamento de alterações de recursos e a solução de problemas. Por padrão, o AWS CloudTrail está habilitado em todas as contas da AWS.
  • O Amazon Macie usa machine learning para ajudar os clientes a evitar a perda de dados ao descobrir, classificar e proteger automaticamente dados sensíveis na AWS. Esse serviço gerenciado monitora continuamente as atividades de acesso a dados para detectar anomalias e gera alertas detalhados quando identifica riscos de acesso não autorizado ou vazamentos de dados acidentais, como dados confidenciais disponibilizados acidentalmente por um cliente para acesso externo.

A AWS possibilita que clientes e parceiros da APN adicionem uma camada adicional de segurança aos dados em repouso armazenados na nuvem, ajudando-os a cumprir suas obrigações de segurança no processamento como controladores de dados, conforme o RGPD. As ferramentas de criptografia disponíveis na AWS incluem:

  • As funcionalidades de criptografia de dados disponíveis nos serviços de armazenamento e de bancos de dados da AWS, como o Amazon Elastic Block Store, o Amazon S3, o Amazon Glacier, o Amazon DynamoDB, o Oracle RDS, o SQL Server RDS e o Redshift
  • As opções flexíveis de gerenciamento de chaves, incluindo o AWS Key Management Service, possibilitando que os clientes decidam se a AWS gerenciará as chaves de criptografia ou se preferem mantê-las sob total controle
  • As filas de mensagens criptografadas para a transmissão de dados sensíveis usando criptografia do lado do servidor (SSE) para o Amazon SQS
  • O armazenamento dedicado de chaves criptográficas baseado em hardware usando o AWS CloudHSM, permitindo que os clientes atendam aos requisitos de conformidade

Além disso, a AWS fornece APIs para que clientes e parceiros APN integrem criptografia e proteção de dados a qualquer um dos serviços que desenvolvem ou implantam em um ambiente da AWS.

A AWS fornece recursos e serviços específicos que ajudam os clientes a atender aos requisitos do RGPD:

Controle de acesso: concede acesso aos recursos da AWS exclusivamente a administradores, usuários e aplicações com autorização

  • Multi-Factor Authentication (MFA)
  • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Tokens de acesso temporários por meio do AWS Security Token Service

Monitoramento e registro em log: obtenção de uma visão geral das atividades em seus recursos da AWS

Criptografia: criptografia de dados na AWS

  • Criptografia dos seus dados ociosos com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos de segurança de hardware (HSM) dedicados na nuvem com o AWS CloudHSM

Sólida estrutura de conformidade e padrões de segurança: demonstração de conformidade com padrões internacionais rigorosos, como:

AWS e o RGPD no Reino Unido

Abrir tudo

O RGPD é um regulamento da União Europeia e, após a saída do Reino Unido da União Europeia, não se aplica mais ao Reino Unido.  O governo do Reino Unido incorporou os requisitos do RGPD na lei do Reino Unido como o “UK GDPR”.

A AWS fornece um Adendo ao RGPD do Reino Unido, que é compatível com o RGPD do Reino Unido, ao DPA da AWS que incorpora os compromissos da AWS como processador de dados ao abrigo do RGPD do Reino Unido. O Adendo ao RGPD do Reino Unido faz parte dos Termos de Serviço da AWS e entra em vigor automaticamente para todos os clientes que necessitam de um acordo de processamento de dados para estar em conformidade com o RGPD do Reino Unido.

Adendo ao RGPD do Reino Unido, que faz parte dos Termos de Serviço da AWS, inclui as Cláusulas Contratuais Padrão (SCCs, na sigla em inglês) adotadas pela Comissão Europeia e o adendo internacional de transferência de dados (IDTA, na sigla em inglês) emitido pelo órgão regulador de proteção de dados do Reino Unido (o Information Commissioner's Office).  O IDTA altera os SCCs para garantir que estes constituam medidas de proteção apropriadas sob o UK GDPR para transferências de dados internacionais a países fora do Reino Unido que não foram reconhecidos como capazes de fornecer um nível adequado de proteção de dados pessoais (países fora do Reino Unido). O Adendo ao RGPD do Reino Unido confirma que as SCCs, conforme alteradas pelo IDTA, serão aplicadas automaticamente sempre que um cliente usar os serviços da AWS para transferir dados de clientes sujeitos ao RGPD do Reino Unido (dados de clientes do Reino Unido) para países externos ao Reino Unido.  Como parte do Adendo ao RGPD do Reino Unido nos Termos de Serviço da AWS, as SCCs, conforme alteradas pelo IDTA, serão aplicadas automaticamente sempre que um cliente usar os serviços da AWS para transferir dados de clientes do Reino Unido para países externos ao Reino Unido.

AWS e a Lei Federal de Proteção de Dados da Suíça

Abrir tudo

A AWS fornece um Adendo Suíço ao Adendo de Processamento de Dados da AWS (o “Adendo Suíço”), que incorpora os compromissos da AWS como processador de dados conforme a Lei Federal Suíça de Proteção de Dados “FDPA”, na sigla em inglês). O Adendo Suíço faz parte dos Termos de Serviço da AWS (consulte a Seção 1.14.4) e entra em vigor automaticamente sempre que a FDPA for aplicável ao uso dos serviços da AWS por parte do cliente para o processamento de dados do cliente.

Adendo Suíço ao Adendo de Processamento de Dados da AWS, que faz parte dos Termos de Serviço da AWS (consulte a Seção 1.14.4), inclui as Cláusulas Contratuais Padrão (as “SCCs”, na sigla em inglês) adotadas pela Comissão Europeia e alteradas conforme exigido pelo Comissário Federal de Proteção de Dados e Informação da Suíça. O Adendo Suíço confirma que as SCCs (conforme alteradas pelo Adendo Suíço) serão automaticamente aplicáveis sempre que um cliente usar os serviços da AWS para transferir dados do cliente sujeitos ao FDPA para terceiros países.

Contato

Abrir tudo

Recomendamos que os clientes com dúvidas sobre o Regulamento Geral sobre a Proteção de Dados (RGPD) entrem em contato primeiro com o gerente de conta da AWS. Se os clientes assinaram o Enterprise Support, também podem entrar em contato com seu gerente de contas técnicas (TAM). Os TAMs trabalham com os arquitetos de soluções para ajudar os clientes a identificar possíveis riscos e mitigações. Os TAMs e as equipes de contas também podem indicar recursos específicos aos clientes e parceiros do APN, de acordo com seu ambiente e suas necessidades.

Além disso, a AWS conta com equipes de representantes do Enterprise Support, consultores do Professional Services e outros especialistas para auxiliar com dúvidas relacionadas ao RGPD. Em caso de dúvidas, entre em contato conosco aqui.

Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »