Соответствует ли Amazon Chime GDPR?
Мы создаем приложение для видеозвонков с использованием Amazon Chime SDK. Наше приложение обслуживает клиентов в Великобритании и должно соответствовать GDPR.
На странице информации о соответствии Amazon Chime ничего явным образом не говорится о соответствии GDPR. Однако сам AWS утверждает, что это так, а Chime - это сервис под управлением AWS.
Поэтому мы не уверены, соответствует ли Chime самим требованиям GDPR. Может ли кто-нибудь посоветовать, есть ли у вас какая-либо соответствующая информация, чтобы окончательно подтвердить или опровергнуть соответствие Chime GDPR.
3 ответа
После нескольких попыток мы действительно получили ответ от AWS, хотя и расплывчатый.
В основе безопасности Amazon Chime лежит безопасность Amazon Web Services (AWS). Регионы и сети AWS созданы и эксплуатируются в соответствии с требованиями некоторых из наиболее чувствительных к безопасности организаций в мире. AWS постоянно проходит сторонние аудиты со стороны различных аудиторских организаций государственного и частного секторов, чтобы поддерживать свой статус в соответствии с многочисленными предложениями соответствия, такими как уровень 1 PCI DSS индустрии кредитных карт, программа FedRAMP правительства США, сертификация C5 в Германии. и оценка IRAP правительством Австралии. Дополнительные сведения см. На веб-сайтах AWS Security и AWS Compliance. Amazon Chime разработан и эксплуатируется в соответствии с теми же стандартами AWS, прошел процесс соответствия, необходимый для того, чтобы стать сервисом, отвечающим требованиям HIPAA,и в настоящее время добавляется в другие соответствующие программы соответствия.
SDK Amazon Chime может использоваться клиентами, которые внедряют передовые методы и соответствие GDPR с помощью нашей модели общей ответственности.
Таким образом, они, похоже, подразумевают, что его можно использовать в соответствии с GDPR.
Дополнительная информация: специально для функции чата AWS посоветовал нам использовать маршрут API обмена данными для обеспечения ретрансляции и хранения данных в ЕС.
Все сообщения чата в приложении Chime передаются и хранятся в us-east-1 (Вирджиния). Сообщения чата всегда отправляются из Великобритании.
В SDK есть API обмена данными, который можно использовать для создания чата.(https://aws.github.io/amazon-chime-sdk-js/modules/apioverview.html) Эти сообщения проходят через тот же регион, который используется для проводите встречу (например, в Лондоне), и они остаются там в течение нескольких минут и до конца встречи, чтобы их можно было передать другим участникам во время этой встречи.
Я считаю, что Amazon Chime не соответствует требованиям GDPR. На веб-сайте нет возможности экспортировать существующие пользовательские данные. Документированный подход к экспорту истории - это прокрутить историю чата назад и скопировать и вставить:https://answers.chime.aws/questions/629/how-can-i-save-all-the-data-from-a-chat-room-or-co.html
Обратитесь к своему техническому представителю AWS. Я уверен, что они помогут вам лучше это понять. AWS - это большая экосистема сервисов. Звонок, используемый с другими сервисами, можно сделать совместимым с GDPR.
Например, все события Chime отслеживаются через AWS EventBridge. Должно быть довольно легко атрибутировать и отслеживать все данные для конкретного пользователя.