AWS宣布其服务皆符合GDPR规範提供工具助用户解决法遵难题

AWS在官网上宣布，旗下所有AWS皆符合欧盟通用资料保护规则（EU General Data Protection Regulation，GDPR）。AWS表示，用户除了受惠于AWS为遵守GDPR，所採取维护服务安全的措施外，用户也能把AWS服务用作GDPR法遵的关键部署。 

AWS表示，在他们準备GDPR审核的过程，更加确认了AWS在处理个人资料保护上，具备有效的技术以及组织化的量测指标。AWS提供了一套安全法遵服务，能够用于帮助用户符合GDPR要求，其中包含Amazon GuardDuty安全服务，能用来智慧检测威胁外，还能持续的监控系统安全。Amazon Macie使用机器学习技术，协助探索以及保护Amazon S3上的个人资料。Amazon Inspector则是自动化安全评估服务，确保应用程式维持最佳安全实践。AWS Config Rules能动态检测云端资源是否符合安全规则。

AWS发布了白皮书，以协助用户确保使用AWS时能完全遵循GDPR，书中详细介绍了GDPR概念，以及与AWS服务间的关联，包括监控、资料存取或是金钥管理等细节。AWS重点提醒用户，除了个人资料需要加密外，还要有能力确保系统的保密性、完整性、可用性以及弹性，并在安全事件发生时，能即时恢复个人资料的可用性及存取权限，在平时也要定期测试评估，以确保技术以及组织的安全措施有效性。

赶在今年5月25日GDPR正式上路前，AWS完成GDPR的所有审核工作，确保其所有提供的服务，皆符合GDPR对资料处理服务的隐私要求，以及资料保护标準。AWS表示，他们之所以提早在期限前2个月完成法遵準备，就是为了接下来要帮助用户及其AWS合作伙伴网路（APN），也能符合GDPR的要求。

GDPR被评为欧盟最严格的个资法，以个人可识别资讯（Personally Identifiable Information，PII）为核心概念，凡是可以用作识别个人身分的相关资讯，都在GDPR的规範内，这些资料不再只是单纯的姓名、电话或是地址，同时也包括浏览器的Cookie、IP位置，或是足以识别个人身份的生物特徵以及医疗资料。GDPR不只是保护的个人资料範围最广，同时罚款金额也是最高的个资法，想要与欧洲做生意的厂商不得不注意。