看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!
2018 年 5 月,欧盟的“通用数据保护条例”就要生效。近日,AWS宣布,其所有正式服务现在都符合GDPR 条例了。
GDPR 是过去二十年中最大规模的数据隐私条例改革,不仅会影响到在欧盟经营的组织,而且会影响到任何处理欧盟公民数据的组织,而不管它在哪里。
让 AWS 服务进入 GDPR 就绪状态是一项需要多方面努力的任务。个人信息安全是 GDPR 遵从性的基础,AWS 会使用一系列国际标准认证他们的服务实现。AWS 认证过的部分国际标准包括面向云安全的 ISO 27017 、面向云隐私的 ISO 27018 、面向技术措施的 ISO 27001 、服务组织控制 1/2/3、欧盟特有的认证,如英国标准协会的公有云计算控件目录(C5)。
AWS 还提供了一组服务,用来为 GDPR 安全方面的实现提供帮助。Amazon GuardDuty 帮助监控和威胁检测。Amazon Macie 使用机器学习帮助发现个人身份信息和 IP 相关的信息。Amazon Inspector 可以自动评估基于 AWS 的应用程序的安全性。最后,AWS Config Rules 监控云资源的安全合规性。
AWS 还发布了一个 17 页的文档和一个 GDPR 信息门户,其中前者列出了AWS 的GDPR 遵从性信息。AWS 还提供了一个GDPR 遵从性数据处理目录( DPA ),让客户能够满足 DPA 规则。作为 GDPR 要求的一部分,AWS 遵守 CISPE 行为准则。Amazon 提供了一个为期两天的 GDPR 研讨会,并将在即将到来的欧洲国家、旧金山及东京的 AWS 峰会上做 GDPR 报告。
前面已经提到,GDPR 也适用于欧盟境外,就是说,它适应于欧盟的控制器和处理器处理个人数据,而不管处理过程是否发生在欧盟。它也适用于欧盟之外的控制器或处理器对欧盟资料保护主体的个人数据的处理,如果这种活动关系到提供给欧盟公民的物品或服务。可能有读者也会希望阅读下美国新法律云法案中一段与之相关的内容,这部法律明确规定了美国及其他国家如何及何时访问存储在彼此司法辖区内的云服务器上的数据。
GDPR 另一个关键方面是,许可必须清晰,必须易于阅读和理解。数据处理的目的必须加到许可上,许可撤回必须和授予一样简单。
在新的 GDPR 规则下,欧盟客户有几项权力,其中包括被遗忘权、访问权、数据迁移权以及设计上和默认情况下的隐私。全世界的公司在处理欧盟客户的数据时都有义务在初次发现数据泄露的72 小时内报告数据泄露。他们还需要任命一名数据保护专员(DPO)。
违反GDPR 最后会受到2000 万欧元或者占营业额4% 的罚款,以数额较大者为准,就是说,违规的成本非常高。
评论