AWS ANEKS ZA OBRADU PODATAKA
AWS ANEKS ZA OBRADU PODATAKA
Ovaj dodatak za obradu podataka ("DPA") dopunjuje AWS korisnički ugovor, koji je dostupan na xxxx://xxx.xxxxxx.xxx/xxxxxxxxx, xxxx xx povremeno ažuriran između korisnika i AWS-a ili drugih ažuriranih ugovora između korisnika i AWS-a, koji regulišu korišćenje usluga xx xxxxxx korisnika ("Ugovor"). Ovaj DPA je sporazum između vas i kompanije koju predstavljate ("Korisnik", "Vi" ili "Vaš") i Amazon Web Services, Inc. i AWS ugovorne strane (ili AWS ugovorne strane, ako je primenljivo) u okviru Ugovora (zajedno "AWS"). Ako nije drugačije definisano u ovom DPA ili u Ugovoru, svi pojmovi xxxxxx velikim početnim slovom koji se koriste u ovom DPA imaju značenje koje im je dodeljeno u članu 17 ovog DPA.
1. Obrada podataka.
1.1 Opseg i uloge. Ovaj DPA važi kada AWS obrađuje podatke korisnika. U xxx kontekstu, AWS deluje kao obrađivač podataka za korisnika, xxxx xxxx biti ili odgovoran ili obrađivač podataka korisnika.
1.2 Kontrole xx xxxxxx korisnika. Korisnik može koristiti kontrolu usluga kako bi podržao svoje obaveze u skladu sa važećim zakonima o zaštiti podataka, uključujući obavezu da odgovori na zahteve osoba na koje se podaci odnose. S obzirom na prirodu obrade, korisnik se slaže da xx xxxx verovatno da AWS xxxxx xx xx podaci korisnika koje je korisnik prenio putem standardnih ugovornih klauzula netačni ili zastare. Međutim, ako AWS xxxxx xx xx podaci korisnika preneti putem standardnih ugovornih klauzula netačni ili zastare, AWS će odmah obavestiti korisnika. AWS će sarađivati sa korisnikom kako bi izbrisao ili ispravio netačne ili zastarele podatke korisnika prenete putem standardnih ugovornih klauzula, pružajući kontrole usluga koje korisnik može koristiti za brisanje ili ispravljanje podataka korisnika.
1.3 Detalji obrade podataka
1.3.1 Predmet. Predmet obrade podataka u skladu sa ovom Ugovorom o obradi podataka (DPA) su podaci korisnika.
1.3.2 Trajanje. Trajanje obrade podataka između AWS-a i korisnika određuje korisnik.
1.3.3 Svrha. Svrha obrade podataka u skladu sa ovom Ugovorom o obradi podataka (DPA) je pružanje usluga koje korisnik povremeno zahteva.
1.3.4 Vrsta obrade. Izračunavanje, skladištenje i druge usluge, xxxx xx opisano u dokumentaciji i povremeno inicirano xx xxxxxx korisnika.
1.3.5 Vrsta podataka korisnika. Podaci korisnika koji se prenose u usluge pod AWS nalozima korisnika.
1.3.6 Kategorije pogođenih osoba. Pogođene osobe mogu uključivati
korisnike, zaposlene, dobavljače i krajnje korisnike korisnika.
1.4 Poštovanje zakona. Svaka strana će poštovati sve zakone, propise i regulative koje se na nju odnose u ispunjavanju ove Ugovora o obradi podataka (DPA), uključujući važeće zakone o zaštiti podataka.
2. Uputstva korisnika. Strane se slažu da ovaj Ugovor o obradi podataka (DPA) i Ugovor (uključujući uputstva korisnika preko konfiguracionih alata kao što su AWS Management Console i API-ji koje AWS pruža za usluge) predstavljaju dokumentovana uputstva korisnika u vezi sa obradom podataka korisnika xx xxxxxx AWS-a („Dokumentovana uputstva“). AWS će obrađivati podatke korisnika samo u skladu sa dokumentovanim uputstvima (koja, ako korisnik deluje kao obrađivač, mogu biti zasnovana na uputstvima njegovih odgovarajućih kontrolora). Dodatna uputstva van okvira dokumentovanih uputstava (ako postoje) zahtevaju prethodni xxxxxx sporazum između AWS-a i korisnika, uključujući sporazum o dodatnim troškovima koje korisnik xxxxx xx xxxxx AWS-u za sprovođenje takvih uputstava. Korisnik je ovlašćen da raskine ovaj DPA i Ugovor ako AWS ne poštuje uputstva korisnika koja su van okvira ili su u suprotnosti sa uputstvima datim ili dogovorenim u ovom DPA. Uzimajući u obzir prirodu obrade, korisnik se slaže da xx xxxx verovatno da će AWS moći da oceni da li dokumentovana uputstva krše važeće zakone o zaštiti podataka. Ako AWS iznese takvo mišljenje, odmah će obavestiti korisnika, u kojem slučaju korisnik ima pravo da povuče ili izmeni svoja dokumentovana uputstva.
3. Poverljivost podataka korisnika. AWS neće pristupati, koristiti ili otkrivati podatke korisnika trećim stranama, osim ako to nije neophodno za održavanje ili pružanje usluga, ili za ispunjavanje zakonskih zahteva ili važećih i obavezujućih naloga vlasti (kao što su pozivi ili sudski nalozi). Ako vlast zahteva od AWS-a da otkrije podatke korisnika, AWS će pokušati da uputi vlast da direktno zatraži podatke od korisnika. U xxx pokušaju, AWS može vlastima pružiti osnovne kontakt podatke korisnika. Ako AWS bude zakonski primoran da otkrije podatke korisnika vlastima, AWS će obavestiti korisnika o zahtevu na odgovarajući način kako bi korisnik mogao da preduzme mere zaštite ili druga odgovarajuća pravna sredstva, osim ako ga zakoni ne sprečavaju da to učini.
4. Obaveze o poverljivosti osoblja AWS-a. AWS ograničava svoje osoblje da obrađuje podatke korisnika samo uz odobrenje AWS-a, xxxx xx opisano u bezbednosnim standardima. AWS uspostavlja odgovarajuće ugovorne obaveze prema svom osoblju, uključujući relevantne obaveze o poverljivosti, zaštiti podataka i bezbednosti podataka.
5. Bezbednost obrade podataka
5.1 AWS je implementirao tehničke i organizacione mere za AWS mrežu u skladu sa bezbednosnim standardima i ovim odeljkom i nastaviće da ih održava. Konkretno, AWS je implementirao i nastaviće da održava sledeće tehničke i organizacione mere:
(a) Bezbednost AWS mreže, xxxx xx opisano u odeljku 1.1 bezbednosnih standarda;
(b) Fizička bezbednost objekata, xxxx xx opisano u odeljku 1.2 bezbednosnih standarda;
(c) Mere kontrole pristupnih prava za autorizovano osoblje na AWS mrežu, xxxx xx opisano u odeljku 1.3 bezbednosnih standarda;
(d) Procesi za redovno testiranje, procenu i evaluaciju efikasnosti tehničkih i organizacionih mera koje AWS implementira, xxxx xx opisano u odeljku 2 bezbednosnih standarda.
5.2 Korisnik može odlučiti da implementira tehničke i organizacione mere za zaštitu podataka korisnika. Takve tehničke i organizacione mere uključuju sledeće, koje korisnik može dobiti od AWS-a u skladu sa dokumentacijom ili direktno od xxxxx xxxxxx:
(a) Pseudonimizacija i enkripcija za obezbeđivanje odgovarajućeg nivoa bezbednosti;
(b) Mere koje omogućavaju korisniku da adekvatno obezbedi i arhivira podatke, kako bi u slučaju fizičkog ili tehničkog incidenta mogao brzo da povrati dostupnost i pristup podacima korisnika;
(c) Procesi za redovno preispitivanje, procenu i proveru efikasnosti tehničkih i organizacionih mera koje korisnik implementira.
6. Obrada xx xxxxxx podizvođača
6.1 Ovlašćeni podizvođači. Korisnik daje opšte odobrenje za korišćenje podizvođača xx xxxxxx AWS-a za obavljanje aktivnosti obrade podataka korisnika u ime korisnika („podizvođači“) u skladu sa ovim odeljkom. Na AWS veb sajtu (trenutno objavljenom na xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxx-xxxxxxxxxx/) nalaze se trenutno korišćeni podizvođači AWS-a. Najmanje 30 xxxx pre nego što AWS angažuje podizvođača, AWS će ažurirati odgovarajuću veb stranicu i omogućiti korisniku proceduru za obaveštavanje o ovom ažuriranju. Da bi se usprotivio podizvođaču, korisnik može: (i) otkazati sporazum u skladu sa uslovima; (ii) obustaviti korišćenje usluge za xxxx xx AWS angažovao podizvođača; ili (iii) premestiti relevantne podatke korisnika u drugu regiju gde AWS ne angažuje podizvođača.
6.2 Obaveze podizvođača. Kada AWS ovlasti podizvođača u skladu sa odeljkom 6.1:
(i) AWS će ograničiti pristup podizvođača podacima korisnika na minimum potreban za pružanje ili održavanje usluga u skladu sa dokumentacijom, i AWS će sprečiti podizvođača xx xxxxxxxx podacima korisnika u druge svrhe;
(ii) AWS će sklopiti xxxxxx sporazum sa podizvođačem i, u meri u kojoj podizvođač pruža iste usluge obrade podataka koje AWS pruža u okviru ovog DPA, AWS će podizvođaču nametnuti iste ugovorne obaveze koje AWS ima prema ovom DPA;
(iii) AWS ostaje odgovoran za usklađenost sa obavezama iz ovog DPA i za sve radnje ili propuste podizvođača koji dovode do toga da AWS krši bilo koju obavezu iz ovog DPA.
7. AWS podrška u vezi sa zahtevima xx xxxxxx pogođenih lica. Uzimajući u obzir prirodu obrade, Kontrole usluga su tehničke i organizacione mere kroz koje AWS pomaže korisniku da ispuni svoje obaveze u vezi sa odgovorom na zahteve pogođenih lica u skladu sa važećim zakonima o zaštiti podataka. Ako pogođeno lice uputi zahtev AWS-u, AWS će odmah proslediti taj zahtev korisniku čim AWS utvrdi da zahtev potiče od pogođenog lica za koje je korisnik odgovoran. Korisnik ovlašćuje AWS da u njegovo ime i u ime njegovih odgovarajućih lica, xxxx xx korisnik u ulozi obrađivača podataka, odgovori na zahteve pogođenih lica i potvrdi da je AWS prosledio zahtev korisniku. Strane se slažu da korišćenje Kontrola usluga xx xxxxxx korisnika i prosleđivanje zahteva pogođenih lica xx xxxxxx AWS-a korisniku u skladu sa ovim odeljkom predstavljaju obim i domet potrebne podrške korisniku.
8. Opcione bezbednosne funkcije. AWS pruža mnoge Kontrole usluga koje korisnik može koristiti po svom izboru. Korisnik je odgovoran za (a) implementaciju mera opisnih u odeljku 5.2, ukoliko je to prikladno, (b) pravilnu konfiguraciju usluga, (c) korišćenje Kontrola usluga za pravovratno vraćanje dostupnosti i pristupa podacima korisnika u slučaju fizičkog ili tehničkog incidenta (na primer, putem rezervnih kopija i rutinske arhivacije podataka korisnika) i (d) preduzimanje mera koje korisnik smatra prikladnim za održavanje bezbednosti, zaštite i brisanja podataka korisnika, uključujući korišćenje tehnologije enkripcije za zaštitu podataka korisnika od neovlašćenog pristupa i mera za kontrolu pristupnih prava na podatke korisnika.
9. Obaveštavanje o bezbednosnim incidentima.
9.1 Bezbednosni incident. AWS će (a) odmah obavestiti korisnika nakon što AWS sazna za bezbednosni incident i (b) preduzeti odgovarajuće mere kako bi otklonio bezbednosni incident, uključujući mere za ublažavanje negativnih posledica uzrokovanih bezbednosnim incidentom.
9.2 AWS podrška. Kako bi omogućio korisniku da prijavi bezbednosni incident nadležnim organima ili pogođenim licima (u zavisnosti od primenljivosti), AWS će sarađivati sa korisnikom i pružiti mu podršku, obezbeđujući informacije o bezbednosnom incidentu u obaveštenju u skladu sa odeljkom 9.1(a), koje AWS može otkriti korisniku, uzimajući u obzir prirodu obrade, dostupne informacije kod AWS-a i eventualna ograničenja u vezi sa otkrivanjem informacija, kao što je poverljivost. Uzimajući u obzir prirodu obrade, korisnik se slaže da je najbolje sposoban da odredi predviđene posledice bezbednosnog incidenta.
9.3 Neuspešni bezbednosni incidenti. Korisnik se slaže da:
(i) neuspešni bezbednosni incidenti ne spadaju pod ovaj odeljak 9. Neuspešni bezbednosni incident je incident koji ne dovodi do neovlašćenog pristupa podacima korisnika ili opremi ili objektima AWS-a koji čuvaju podatke korisnika. To može uključivati između ostalog pinge i druge napade na vatrozide ili edge servere, skeniranje portova, neuspele pokušaje prijave, napade uskraćivanja usluga, snimanje paketa (ili drugi neovlašćeni pristup podacima u prometu koji ne prelazi header-e) ili slične incidente.
(ii) Obaveza AWS-a da prijavi ili odgovori na bezbednosni incident u skladu sa ovim odeljkom 9 ne može se smatrati priznanjem krivice ili odgovornosti AWS-a u vezi sa bezbednosnim incidentom.
9.4 Komunikacija. Obaveštenja o bezbednosnim incidentima, ako ih ima, xxxx prosleđena administratorima korisnika putem jednog ili više kanala, uključujući e-poštu. Na korisniku je da osigura da administratori korisnika uvek imaju ažurirane kontakt informacije u AWS upravljačkoj konzoli i da je obezbeđena sigurna prenosa podataka.
9.5 Obaveze obaveštavanja. Kada AWS obavesti korisnika o bezbednosnom incidentu ili korisnik na drugi način sazna o nenamernom ili nezakonitom uništavanju, gubitku, izmeni, neovlašćenom otkrivanju ili neovlašćenom pristupu podacima korisnika, korisnik je odgovoran za (a) utvrđivanje da li iz toga proizađu obaveze o obaveštavanju ili druge obaveze u skladu sa važećim zakonima o zaštiti podataka i (b) preduzimanje potrebnih mera za ispunjavanje tih obaveza. Ovo ne ograničava obaveze AWS-a u skladu sa ovim odeljkom 9.
10. AWS Sertifikacije i Revizije.
10.1 AWS ISO Sertifikacije i SOC Izveštaji. Pored informacija sadržanih u ovom DPA, AWS će na zahtev korisnika i uz pretpostavku da xx xxxxxx zaključile primenjivi NDA (Sporazum o poverljivosti), obezbediti sledeće dokumente i informacije:
(i) sertifikate za ISO 27001, ISO 27017, ISO 27018 i ISO 27701 (ili sertifikate ili druge dokumente koji dokazuju usklađenost sa alternativnim standardima koji su u velikoj meri ekvivalentni ISO 27001, ISO 27017, ISO 27018 i ISO 27701); i
(ii) System and Organization Controls (SOC) 1 izveštaj, System and Organization Controls (SOC) 2 izveštaj i System and Organization Controls (SOC) 3 izveštaj (ili izveštaje ili druge dokumente koji opisuju
kontrole koje je AWS implementirao i koji zamenjuju ili su u velikoj meri ekvivalentni SOC 1, SOC 2 i SOC 3).
10.2 AWS Revizije. AWS angažuje spoljne revizore da proveri adekvatnost svojih bezbednosnih mera, uključujući bezbednost fizičkih centara podataka sa kojih AWS pruža usluge. Ova revizija: (a) se obavlja najmanje jednom godišnje; (b) se sprovodi u skladu sa ISO 27001 standardima ili drugim alternativnim standardima koji su u velikoj meri ekvivalentni ISO 27001; (c) se obavlja xx xxxxxx nezavisnih stručnjaka za bezbednost na izbor i trošak AWS-a; i (d) rezultira izradom revizionog izveštaja („Izveštaj“) koji predstavlja poverljive informacije AWS-a.
10.3 Izveštaji o Reviziji. Na pismeni zahtev korisnika i uz pretpostavku da xx xxxxxx zaključile važeći Sporazum o poverljivosti (NDA), AWS će korisniku obezbediti kopiju izveštaja kako bi korisnik mogao adekvatno da proveri usklađenost AWS-a sa obavezama prema ovom DPA.
10.4 Procena uticaja na privatnost i Prethodne konsultacije. Uzimajući u obzir prirodu obrade i informacije koje su AWS-u dostupne, AWS će podržati korisnika u ispunjavanju obaveza u vezi sa procenama uticaja na privatnost i prethodnim konsultacijama, pružajući informacije koje AWS obezbeđuje u skladu sa ovim odeljkom 10.
11. Auditi korisnika. Korisnik može zahtevati ili naložiti audit, uključujući inspekciju, koju može zatražiti ili naložiti u skladu sa važećim zakonima o zaštiti podataka ili standardnim ugovornim klauzulama, na vlastiti trošak i u ime svojih odgovarajućih lica (ako korisnik deluje kao obrađivač podataka), upućujući AWS-u nalog da sprovede audit opisan u odeljku 10. Ako korisnik želi da izmeni ovaj nalog u vezi sa auditom, ima pravo da zatraži izmenu naloga slanjem pismenog obaveštenja AWS-u, xxxx xx predviđeno u ugovoru. Ako AWS odbije da se pokorava nalogu korisnika u vezi sa auditima, uključujući inspekcije, korisnik je ovlašćen da otkaže ugovor u skladu sa uslovima ugovora.
12. Prenos ličnih podataka.
12.1 Regioni. Korisnik može odrediti lokaciju ili lokacije na xxxxxx xx se lični podaci obrađivati unutar AWS mreže (svaki "Region"), uključujući regione u EEA. Nakon što korisnik xxxxxx svoj izbor, AWS neće prenositi lične podatke iz regiona koje je korisnik odabrao, osim ako to nije potrebno za pružanje usluga koje je korisnik inicirao ili za ispunjavanje zakonskih zahteva ili važećih i obavezujućih naloga nadležnih organa.
12.2 Primena Standardnih ugovornih klauzula. Podložni odeljku 12.3, standardne ugovorne klauzule se primenjuju samo na lične podatke koji podležu GDPR-u i koji se prenose u treću zemlju (svaki "Prenos podataka"), bilo direktno ili preko daljeg prenosa.
12.2.1 Ako korisnik deluje kao kontrolor podataka, klauzule se primenjuju na prenos od kontrolora do obrađivača za prenos podataka.
12.2.2 Ako korisnik deluje kao obrađivač podataka, klauzule se primenjuju na prenos od obrađivača do obrađivača za prenos podataka. Uzimajući u obzir prirodu obrade, korisnik se slaže da xx xxxx verovatno da AWS poznaje identitet kontrolora korisnika, budući da AWS nema direktan odnos sa kontrolorima korisnika. Xxxxx xx korisnik preuzeti obaveze AWS-a prema kontrolorima korisnika u skladu sa klauzulama za obrađivače.
12.3 Alternativni mehanizmi prenosa. Standardne ugovorne klauzule se ne primenjuju na prenos podataka ako je AWS uspostavio obavezujuća korporativna pravila za obrađivače podataka ili priznati alternativni standard usklađenosti za zakonite prenose podataka.
13. Otkazivanje DPA. Ovaj DPA ostaje na snazi sve dok je sporazum na snazi (datum "Otkazivanja").
14. Vraćanje ili brisanje ličnih podataka. Do datuma otkazivanja i u roku od 90 xxxx xxxxx datuma otkazivanja, AWS će, u skladu sa uslovima sporazuma, vratiti ili obrisati lične podatke ako korisnik koristi servisne kontrole za zahtev za takvo vraćanje ili brisanje. Najkasnije do kraja ovog 90-dnevnog perioda, korisnik će zatvoriti sve AWS naloge koji sadrže lične podatke.
15. Vraćanje ili brisanje ličnih podataka. Do datuma otkazivanja i u roku od 90 xxxx xxxxx datuma otkazivanja, AWS će, u skladu sa uslovima sporazuma, vratiti ili obrisati lične podatke ako korisnik koristi servisne kontrole za zahtev za takvo vraćanje ili brisanje. Najkasnije do kraja ovog 90-dnevnog perioda, korisnik će zatvoriti sve AWS naloge koji sadrže lične podatke.
16. Potpuni sporazum; Sukobi. Ovaj DPA uključuje Standardne ugovorne klauzule pozivajući se na njih. Ako nije drugačije promenjeno ovim DPA, sporazum ostaje u xxxxx važenju i delovanju. U slučaju sukoba između sporazuma i ovog DPA, uslovi ovog DPA imaju prioritet, osim ako uslovi usluga imaju prioritet u odnosu na ovaj DPA. Ništa u ovom dokumentu ne menja ili modifikuje Standardne ugovorne klauzule.
17. Definicije. Ako u sporazumu nije drugačije definisano, svi pojmovi napisani velikim početnim slovom u ovom DPA imaju sledeća značenja:
„API“ označava programsku interfejs.
„Primenjivi zakon o zaštiti podataka“ označava sve zakone i propise koji se odnose na
obradu ličnih podataka xx xxxxxx xxxxxx i xxxx xx obavezujući, uključujući, ako je primenjivo, GDPR.
„AWS mreža“ označava servere, mrežne uređaje i softverske sisteme (na primer, virtuelne vatrozidove) pod kontrolom AWS-a koji se koriste za pružanje usluga.
„Obavezujuća interna pravila o zaštiti podataka“ imaju značenje koje im xx xxxx u GDPR-u.
“Kontrolor“ ima značenje dato u GDPR-u.
„Kontrolor-za-obrađivača klauzule“ označava standardne ugovorne klauzule između kontrolora i obrađivača za prenose podataka koje je Evropska komisija odobrila Izvršnom odlukom (EU) 2021/914 od 4. xxxx 2021. godine i koje su trenutno dostupne u xxxxx://x-x.xx/xxxxxxxxxx_xxxxxxxx_xxxxxxxx_xxxxxxxxx_xxxxx_xxxxxxxxxx_xxxxxxxx-XXX s.
“Dokumentacija“ označava aktuelnu dokumentaciju za usluge, xxxx xx dostupna na xxxx://xxx.xxxxxx.xxx/xxxxxxxxxxxxx (i na svim AWS-ovim imenovanim naslednicima).
„EEA“ označava Evropski ekonomski prostor (European Economic Area).
„GDPR“ označava Uredbu (EU) 2016/679 Evropskog parlamenta i Saveta od 27. aprila 2016. godine o zaštiti fizičkih lica u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka, kao i o ukidanju Direktive 95/46/EC (Opšta uredba o zaštiti podataka).
„Lični podaci“ označava lične podatke, lične informacije, informacije koje omogućavaju identifikaciju ili drugi ekvivalentan termin (prema primenjivom zakonodavstvu o zaštiti podataka).
“Obrada“ ima značenje koje joj xx xxxx u GDPR-u, a termini „obrađivati“, „obrada“ i
„obrađeno“ se tumače u skladu s xxx.
“Obrađivač“ ima značenje koje mu xx xxxx u GDPR-u.
„Obrađivač-za-obrađivača klauzule“ označava standardne ugovorne klauzule između obrađivača za prenose podataka koje je Evropska komisija odobrila Izvršnom odlukom (EU) 2021/914 od 4. xxxx 2021. godine i koje su trenutno dostupne u xxxxx://x-x.xx/xxxxxxxxxx_xxxxxxxx_xxxxxxxx_xxxxxxxxx_xxxxxxxx_xxxxx_xxxxxxxxxx_xxxx taka-SCCs.
„Region“ ima značenje dato u odeljku 12.1 ovog DPA.
“Bezbednosni incident“ označava povredu bezbednosti AWS-a koja dovodi do
nenamernog ili nezakonitog uništenja, gubitka, izmene, neovlašćene objave ili neovlašćenog pristupa ličnim podacima.
„Bezbednosni standardi“ označavaju bezbednosne standarde koji su priloženi ovom DPA kao Aneks 1.
„Servisne kontrole“ označavaju kontrole, uključujući bezbednosne funkcije i karakteristike, koje usluge pružaju, xxxx xx opisano u dokumentaciji.
„Standardne ugovorne klauzule“ označavaju (i) klauzule za kontrolora-za-obrađivača ili (ii) klauzule za obrađivača-za-obrađivača, u zavisnosti od primenjivosti prema odeljcima 12.2.1 i 12.2.2.
„Treća zemlja“ označava zemlju van EEA koja nije priznata xx xxxxxx Evropske komisije kao zemlja sa odgovarajućim nivoom zaštite ličnih podataka (xxxx xx opisano u GDPR-u).
Aneks 1
Bezbednosni standardi
1. Program bezbednosti informacija. AWS će održavati program bezbednosti informacija koji je dizajniran da (a) omogući korisniku da zaštiti korisničke podatke od nenamernog ili nezakonitog gubitka, pristupa ili otkrivanja, (b) identifikuje razumno predvidive rizike za bezbednost i dostupnost AWS mreže i (c) minimizuje fizičke i logičke bezbednosne rizike za AWS mrežu, uključujući redovne procene rizika i testiranja. AWS će imenovati jednog ili više zaposlenih koji će koordinirati program bezbednosti informacija i biti odgovorni za njega.
Program bezbednosti informacija AWS-a će uključivati sledeće mere:
1.1 Logička bezbednost.
A. Kontrola pristupa. AWS će omogućiti pristup AWS mreži samo ovlašćenim osobama i samo u meri xxxx xx neophodna za održavanje i pružanje usluga. AWS će održavati kontrole i politike pristupa kako bi upravljao autorizacijama za pristup AWS mreži sa svake mrežne xxxxx i korisnika, uključujući korišćenje vatrozida ili funkcionalno ekvivalentne tehnologije, kao i kontrole autentifikacije. AWS će održavati kontrole xxxxxxxx xx ciljem da (i) ograniči neovlašćen pristup podacima i
(ii) razdvoji podatke svakog korisnika od podataka drugih korisnika.
B. Ograničen pristup korisnika. AWS će (i) postaviti i ograničiti pristup korisnika AWS mreži prema principima minimalnih privilegija na osnovu zadataka zaposlenih, (ii) zahtevati pregled i odobrenje pre odobravanja pristupa AWS mreži
izvan minimalnih privilegija, uključujući administratorske naloge; (iii) zahtevati pregled privilegija pristupa AWS mreži najmanje svaka tri meseca i, ako je potrebno, brzo opozvati privilegije pristupa, i (iv) zahtevati dvostruku autentifikaciju za pristup AWS mreži sa udaljenih lokacija.
C. Procena ranjivosti. AWS će sprovoditi redovne spoljne procene ranjivosti i penetracione testove AWS mreže i istraživati identifikovane probleme, kao i pravovremeno pratiti njihovo rešavanje.
D. Bezbednost aplikacija. Pre nego što javno predstavi nove usluge ili značajne nove funkcionalnosti usluga, AWS će sprovesti bezbednosne provere aplikacija koje imaju za cilj identifikaciju, ublažavanje i rešavanje bezbednosnih rizika.
E. Upravljanje promenama. AWS će održavati kontrole koje su dizajnirane da beleže, odobravaju, testiraju, odobravaju i dokumentuju promene na postojećim AWS mrežnim resursima, i xxxx dokumentovani detalji promena u svojim alatima za upravljanje promenama ili implementaciju. AWS će testirati promene u skladu sa svojim standardima upravljanja promenama pre nego što budu uvedene u proizvodnju. AWS će održavati procese sa ciljem da otkrije neovlašćene promene u AWS mreži i pratiti identifikovane probleme do njihovog rešenja.
F. Integritet podataka. AWS će održavati kontrole koje imaju za cilj da obezbede integritet podataka tokom prenosa, skladištenja i obrade unutar AWS mreže. AWS će omogućiti kupcu da izbriše korisničke podatke iz AWS mreže.
G. Kontinuitet poslovanja i obnova nakon katastrofe. AWS će održavati formalni program upravljanja rizikom, dizajniran da podrži kontinuitet svojih kritičnih poslovnih aktivnosti („Program kontinuiteta poslovanja“). Program kontinuiteta poslovanja uključuje procese i procedure za identifikaciju, reakciju i obnovu nakon događaja koji bi mogli sprečiti ili značajno ometati pružanje usluga xx xxxxxx AWS-a (događaj „BCP“). Program kontinuiteta poslovanja uključuje trofazni pristup koji AWS koristi za upravljanje BCP događajima:
(i) Faza aktivacije i obaveštavanja. Kada AWS identifikuje probleme koji bi mogli dovesti do BCP događaja, AWS će te probleme eskalirati, validirati i istražiti. U ovoj fazi AWS će analizirati uzroke BCP događaja.
(ii) Faza oporavka. AWS će uputiti odgovorne timove da preduzmu mere kako bi se ponovo uspostavila normalna funkcionalnost sistema ili stabilizovali pogođeni servisi.
(iii) Faza rekonstitucije. AWS rukovodstvo će pregledati preduzete mere i potvrditi da su napori za oporavak završeni i da su pogođeni delovi
servisa i AWS mreže ponovo uspostavljeni. Nakon ove potvrde, AWS će sprovesti post-mortem analizu BCP događaja.
H. Upravljanje incidentima. WS će održavati planove za korektivne mere i hitne planove za odgovor na potencijalne bezbednosne pretnje za AWS mrežu. Hitni planovi AWS-a sadrže definisane procese za otkrivanje, ublažavanje, istraživanje i izveštavanje o bezbednosnim incidentima. Hitni planovi uključuju verifikaciju incidenata, analize napada, izolaciju, prikupljanje podataka i rešavanje problema. AWS će voditi AWS bezbednosni bilten (od datuma stupanja na snagu, xxxx://xxx.xxxxxx.xxx/xxxxxxxx/xxxxxxxx-xxxxxxxxx/), koji objavljuje i komunicira informacije o bezbednosnim pitanjima koja se mogu odnositi na servise i pruža uputstva za ublažavanje identifikovanih rizika.
I. Deaktivacija medija za skladištenje. AWS će održavati proces za deaktivaciju medija za skladištenje, koji se sprovodi pre konačne likvidacije medija koji se koriste za skladištenje podataka korisnika. Pre konačne likvidacije, mediji za skladištenje koji su korišćeni za skladištenje podataka korisnika xxxx demagnetizovani, obrisani, očišćeni, fizički uništeni ili na drugi način sanirani u skladu sa industrijskim standardima kako bi se osiguralo da podaci korisnika ne mogu biti obnovljeni sa tog medija za skladištenje.
1.2 Fizička sigurnost.
A. Kontrola pristupa. AWS će (i) implementirati i održavati fizičke zaštitne mere koje su usmerene na sprečavanje neovlašćenog fizičkog pristupa, oštećenja ili ometanja AWS mreže, (ii) koristiti odgovarajuće kontrolne uređaje kako bi fizički pristup AWS mreži bio dozvoljen samo ovlašćenim osobama sa opravdanim poslovnim potrebama, (iii) nadgledati fizički pristup AWS mreži pomoću sistema za otkrivanje upada, koji su dizajnirani za nadzor, prepoznavanje i obaveštavanje odgovarajućih osoba o bezbednosnim incidentima, (iv) evidentirati fizički pristup AWS mreži i redovno obavljati revizije, i (v) sprovoditi redovne provere kako bi se validirala usklađenost sa ovim standardima.
B. Dostupnost. AWS će (i) implementirati redundantne sisteme za AWS mrežu, koji su dizajnirani da minimiziraju posledice greške na AWS mrežu, (ii) dizajnirati AWS mrežu tako da može da anticipira i toleriše hardverske greške, i (iii) implementirati automatizovane procese koji su usmereni na preusmeravanje saobraćaja korisnika sa pogođenog područja u slučaju hardverske greške.
1.3 AWS zaposlenici.
A. Obuka zaposlenih o sigurnosti. AWS će implementirati i održavati programe obuke za zaposlene u vezi sa zahtevima za informacionu sigurnost AWS-a.
Programi obuke za svest o sigurnosti xxxx pregledani i ažurirani najmanje jednom godišnje.