Amazone Web Services och GDPR

AWS kan vara ett utmärkt verktyg för att möta kraven!

Pierre Gustafsson

Har du en komplex och avancerad IT-struktur kan användandet av AWS-tjänster för att klara kraven på säkerhets- och efterlevnadsmål var en enkel lösning. Ett modernt expansivt företag som använder Amazon Web Services (AWS) för att forma sin verksamhet måste dessutom måste de se till att de uppgifter som de lagrar på molnet är säkra. De måste följa regler och normer såsom den allmänna dataskyddsförordningen (GDPR) och Betalkortindustrins datasäkerhetsstandard (PCI DSS). 

AWS har mycket bra resurser där företag får bra underlag till att uppfylla olika säkerhetskrav. De använder en modell med delat säkerhetsansvar för att axla ansvarsbördan tillsammans med sina kunder. 

AWS har ett överskådligt delat säkerhetsansvar vilket passar GDPR
Amazone Web Services har många överskådliga funktioner och med ett tänk om delat säkerhetsansvar får du full kontroll på dina AWS produkter som hanterar personuppgifter.

AWS modell med delat säkerhetsansvar 

AWS ramverk för efterlevnad kan hjälpa företag att minska sitt säkerhetsansvar medan det samtidigt förbättrar deras efterlevnadstäckning. Naturligtvis är alla fall olika. Således kommer företagen att behöva utvärdera sitt individuella läge för att komma på hur AWS kan hjälpa dem att nå sina säkerhetsmål. 

I ett lokalt datacenter är du ansvarig för hela systemet. Men i AWS delade modell är AWS ansvarig för den underliggande infrastrukturen samtidigt som kunderna är ansvariga för allt som pågår på denna infrastruktur. Här är några viktiga punkter avseende ansvarsfördelning: 

AWS säkerhetsansvar: AWS ansvarar för hårdvara, mjukvara, nätverk och faciliteter. Kunderna kan inte personligen verifiera infrastrukturen, men de kommer att förses med regelbundna efterlevnadsrapporter från tredjepartsrevisorer. AWS kommer att hantera säkerhet och gränssnitts-konfigurationer av så kallade ”managed services” såsom Amazon DynamoDB, Amazon RDS, Amazon Redshift och mer. 

Kunds säkerhetsansvar: Kunderna kommer att ansvara för säkerhet och underhåll av de fall som skapats i kategorin Infrastruktur-som-en-Tjänst (IaaS) såsom Amazon EC2, Amazon VPC eller Amazon S3. På Amazon EC2, till exempel, är kunderna ansvariga för OS-uppdateringar och patchar. I Amazon S3 måste kunderna ställa in korrekt åtkomsthantering. 

AWS efterlevnadsprogram 

Amazone GDPR-Center ger dig en överskådlig bild över AWS GDPR verktyg
Besök Amazone GDPR-Center för mer information och pågående utveckling av GDPR tjänster. 

AWS efterlevnadsprogram är utformat för att ge bra styrning och revisionsfunktioner. AWS uppfyller IT-säkerhetsstandarder såsom SOC 1 SOC 2, SOC 3, PCI DSS, GDPR, CSA, ISO 9001 och fler. Här är några efterlevnadsexempel: 

Allmänna dataskyddsförordningen (GDPR)

AWS lever upp till den av den Europeiska unionen (EU) nyligen antagna integritetsskyddsförordning, GDPR. Enligt förordningen är AWS både en registeransvarig och en registerförare. AWS har genomfört lösningar för att möta datakrypterings-, databehandlings-, dataåterställnings- och datatillgänglighetskrav. Rutiner finns för att regelbundet testa, bedöma och utvärdera efterlevnaden. 

Betalkortindustrins datasäkerhetsstandard (PCI DSS)

PCI:s Säkerhetsstandardråd definierar normer för alla enheter som arbetar med lagring, behandling eller överföring av kortdata (CHD) eller känsliga autentiseringsdata (SAD). AWS har en lista över PCI-efterlevande tjänster. AWS ger också snabbstartsmallar som hjälper kunderna att bygga den nödvändiga arkitekturen för att uppfylla PCI DSS-kraven

AWS verktyg och produkter för säkerhetsefterlevnad 

AWS har en lång lista med säkerhets-, identitets- och efterlevnadsprodukter. De här produkterna gör det lättare att införa lösningar. Här är några av de viktigaste produkterna: 

  • AWS Artifact - AWS Artifact-portalen ger revisionsartefakter. Du kan få tillgång till handlingar för säkerhet och efterlevnad av GDPR eller PCI med hjälp av portalen.

  • AWS Identity and Access Management (IAM) - Du kan använda IAM för att bevilja eller neka användaren tillgång till dina AWS-resurser. Den låter dig även skapa och hantera AWS-användare och -grupper. 

  • Amazon Inspector - Amazon Inspector skannar dina utrullade applikationer i AWS och hittar förbättringsområden för säkerhet och efterlevnad. 

  • AWS ClousHSM - Tjänsten använder säkerhetsmoduler i hårdvara (HSM) för att uppfylla företags- och regelefterlevnadskrav. 

  • Amazon Key Management Service – Amazons nyckelhanteringstjänst (KMS) hjälper dig att skapa och hantera dina krypteringsnycklar. 

  • Amazon Cognito - Amazon Cognito är en tjänsteleverantör för skalbar registrerings-, inloggnings- och åtkomstkontroll för dina webb- och mobilapplikationer. Den kan enkelt hantera miljontals användarinloggningar. 

  • Amazon Macie - Amazon Macie använder maskininlärning för att upptäcka, klassificera och skydda känsliga data på Amazon S3. Den kan vara ett mycket bra verktyg för att upptäcka problem med GDPR-efterlevnad för personligt identifierbar information (PII). 

  • AWS Certificate Manager - Amazons certifikathanterare är ett mycket bra verktyg för att hantera certifikat för Secure Sockets Layer/Transport Layer Security (SSL/TLS). 

  • Amazon GuardDuty - GuardDuty övervakar loggar för dina AWS-konton och arbetsbelastningar och hittar möjliga säkerhetshot. 

  • AWS WAF - AWS Web Application Firewall (WAF) skyddar mot vanliga exporter. 

  • Amazon Firewall Manager - Amazon Firewall Manager ger centraliserad kontroll över AWS WAF. 

  • AWS Organizations – AWS Organizations är ett bra verktyg för större företag att hantera flera AWS-konton på. Det förenklar fakturering och hjälper till med spårbarhet. 

AWS, Arbore och YumFog är dina partners för GDPR efterlevnad 

Att navigera bland efterlevnadsfrågor kan vara komplicerat. Dock gör AWS det lättare för företagen. Systemet tar hand om ett stort antal problem genom modellen med delat säkerhetsansvar. Dessutom tillhandahåller AWS mycket bra produkter och verktyg för att hjälpa dig att bättre hantera din efterlevnad.

YumFog - Think Business Agilty
 

Pierre Gustavsson
GDPR Coach, Arbore AB

Odoo CMS- Sample image floating
Odoo CMS- Sample image floating

Din lokala GDPR partner i Nordvästa Skåne!

Kontakta Arbore AB för hjälp med att komma igång!