Protezione dei dati in AWS

AWS e la protezione dei dati con il GDPR
Categorie:

I server Amazon sono conformi al GDPR?

Il cloud computing sta diventando sempre più popolare. I fornitori dominanti in questo mercato hanno tutti sede negli Stati Uniti, tra cui Amazon Web Services (AWS). Il trasferimento di dati personali da aziende tedesche ed europee agli Stati Uniti richiede sempre una base giuridica. Dopo che la Corte di giustizia europea ha dichiarato invalido il Privacy Shield nella sentenza del 16 luglio 2020, per i trasferimenti di dati vengono generalmente utilizzate clausole contrattuali standard. Tuttavia, da sole non sono sufficienti.

Nella sua sentenza, la Corte di giustizia europea ha sottolineato la responsabilità del responsabile del trattamento di valutare se i diritti degli interessati negli Stati Uniti (o in altri Paesi terzi) godano effettivamente di un livello di protezione equivalente a quello dell'UE con la stipula delle clausole contrattuali standard. In effetti, le autorità di controllo europee si aspettano misure aggiuntive come l'anonimizzazione o la crittografia dei dati da trasferire. Questo blog post spiega se e come AWS prende sul serio la protezione dei dati e supporta i suoi clienti nella sua attuazione.

 

AWS

 

Amazon Web Services (AWS) è un fornitore di cloud computing statunitense. È stata fondata nel 2006 come sussidiaria della società di vendita per corrispondenza online Amazon.com. Da allora, AWS è cresciuta rapidamente. Nel 2017, Gartner ha nominato AWS come il principale fornitore internazionale di cloud computing. Qualche anno fa, il fatturato di AWS era di 46 miliardi di dollari.

 

 

AWS e protezione dei dati

 

In quanto azienda statunitense, Amazon Web Services, come altri servizi analoghi, è stata criticata per anni per quanto riguarda la protezione dei dati. Per compensare questo problema, AWS offre le cosiddette regioni, che a loro volta sono suddivise in zone di disponibilità e corrispondono a luoghi fisici per l'archiviazione dei dati. Ad esempio, è possibile selezionare le regioni Irlanda (eu-west-1) e Francoforte sul Meno (eu-central-1) in modo che le istanze vengano eseguite solo lì. Il problema è che i server situati nell'UE non sono protetti dall'accesso delle autorità statunitensi ai sensi del Cloud Act. Questo è un problema per AWS e per la protezione dei dati in Germania.

Amazon offre ai suoi clienti clausole contrattuali standard preconfigurate e fa anche riferimento a un Addendum sul trattamento dei dati. Tuttavia, entrambi i documenti sono concepiti secondo un "approccio di alto livello". Non supportano realmente il cliente nell'effettuare la valutazione dell'impatto del trasferimento richiesta nelle clausole contrattuali standard. Ad esempio, la seguente descrizione delle categorie di dati trattati contenuta nell'addendum: "Dati del cliente caricati sui servizi nell'ambito degli account AWS del cliente". è ovviamente troppo superficiale per effettuare un'adeguata valutazione dell'impatto del trasferimento.

Per migliorare la protezione dei dati, Amazon offre agli sviluppatori la possibilità di crittografare essi stessi i dati archiviati su AWS, anche quando utilizzano un kit di sviluppo software ufficiale. Ai grandi clienti viene offerto l'uso della crittografia hardware con componenti personalizzati.

 

Conclusione
Secondo l'autopresentazione di AWS, le richieste delle autorità statunitensi vengono sempre controllate attentamente e, se necessario, respinte. Per quanto riguarda la protezione dei dati, Amazon AWS sottolinea inoltre che i dati crittografati dal cliente saranno rilasciati alle autorità statunitensi solo in forma criptata.

Per i servizi AWS con crittografia, viene utilizzato il servizio KMS di AWS, che garantisce che AWS stessa non abbia modo di decifrare il testo in chiaro.

Ciò significa che AWS può essere utilizzato in conformità con le normative sulla protezione dei dati, ma solo se la crittografia viene effettivamente utilizzata e i possibili rischi residui sono stati valutati come accettabili nell'ambito della valutazione dell'impatto del trasferimento.

Avete bisogno di un supporto per l'implementazione professionale di una valutazione d'impatto del trasferimento? Contattateci. Saremo lieti di supportarvi con la nostra pluriennale esperienza in materia di protezione dei dati.

Tag:
Condividi questo post :
it_ITItalian