Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen - DSGVO-Compliance auf AWS

Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

Jedes Mal, wenn ein Benutzer oder eine Anwendung versucht, die AWS Management Console, die AWS API oder die AWS CLI zu verwenden, wird eine Anforderung an AWS gesendet. Der AWS-Service empfängt die Anforderung und führt eine Reihe von Schritten aus, um zu bestimmen, ob die Anforderung gemäß einer bestimmten Auswertungslogik für Richtlinien erlaubt oder verweigert werden soll. Mit Ausnahme von Stamm-Anmeldeinformationsanforderungen werden alle Anforderungen in AWS standardmäßig verweigert (die standardmäßige Verweigern-Richtlinie wird angewendet). Das bedeutet, dass alles, was in der Richtlinie nicht ausdrücklich erlaubt ist, verweigert wird. Bei der Definition von Richtlinien und als bewährte Methode empfiehlt AWS, dass Sie das Prinzip der geringsten Zugriffsrechte anwenden, was bedeutet, dass jede Komponente (wie Benutzer, Module oder Services) nur auf die Ressourcen zugreifen kann, die zur Ausführung ihrer Aufgaben erforderlich sind.

Dieser Ansatz steht im Einklang mit Artikel 25 der DSGVO, der vorsieht, dass „der Verantwortliche geeignete technische und organisatorische Maßnahmen“ treffen soll, „die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“.

AWS bietet auch Tools zur Implementierung der Infrastruktur als Code. Dies ist ein leistungsstarker Mechanismus, um die Sicherheit von Beginn des Entwurfs einer Architektur an einzubeziehen. AWS CloudFormation bietet eine gemeinsame Sprache zur Beschreibung und Bereitstellung aller Infrastrukturressourcen, einschließlich Sicherheitsrichtlinien und -prozesse. Mit diesen Tools und Praktiken wird die Sicherheit zum Bestandteil Ihres Codes und kann gemäß den Anforderungen Ihrer Organisation (mit einem Versionierungssystem) versioniert, überwacht und geändert werden. Dies ermöglicht den Datenschutz durch Technik, da Sicherheitsprozesse und -richtlinien in die Definition Ihrer Architektur einbezogen und auch kontinuierlich durch Sicherheitsmaßnahmen in Ihrer Organisation überwacht werden können.