对于对其客户隐私高度负责的组织来说，AWS 等服务是否足够安全？

Question

好的，所以我们必须在线存储客户的私人医疗记录，而且网站会有很多请求，所以我们必须使用一些扩展解决方案。
我们可以拥有自己的数据中心并在其上运行 Zend Server Cluster Manager 之类的东西，但像 Amazon EC2 这样的服务看起来更容易管理，而且它们也非常便宜。我们只是不知道它们是否足够安全！

他们是吗？
还有更好的解决方案吗？

更多信息：我知道有一个参考服务器，并且它是高度安全的，没有它，即使云服务器上的解密数据也毫无用处。这将是一堆毫无意义的数字，甚至彼此之间没有联系。

问题更明确了：有没有安全的存储和处理服务提供商可以保证他们不会泄漏？

Answer 1

首先，您应该联系 AWS 并解释您要构建的内容以及您处理的数据类型。据我记得，他们制定了法规来满足大多数（如果不是全部）隐私问题。

例如，在德国，这样的事情被称为“Auftragsdatenvereinbarung”。我不知道这与其他国家有什么关系和转化。 AWS 提供了这一点。

但无论您使用 AWS 还是其他云计算服务，问题都是一样的。因此，无论什么可能，最好由律师来回答，并且基于希望受过良好教育（且昂贵）的建议，我会去云购物，或者可能不会。如果您在欧盟，会有大量法规，特别是在医疗记录方面 - 一些国家/地区还添加了更多法规。

据我记得，当你处理这些事情时，基本上需要进行端到端加密。

最后但并非最不重要的安全性还取决于设置和应用程序等。

为了完整和全面的安全性，我建议使用未连接到互联网的系统。所有其他人都可能失败。

Answer 2

您永远不应该外包高度敏感的数据。您的公司并且只有您的公司应该有权访问它 - 无论是软件还是硬件方面。即使您的托管服务商通常受到信任，也可能有人会窃取硬件。
根据您公司的规模，您应该拥有自定义服务器 - 最好甚至数据中心的技术人员无法访问（假设您不拥有该数据中心；）。
因此，数据越重要，外国人以任何方式获取数据的机会就越少。在最好的情况下，您可以命名所有有权以任何方式访问它们的人。
（更新：这可能不适用于匿名数据，但当您谈论客户时，我认为这不适用于此处？）
（第三个想法：可能有一些法律可以考虑您必须如何处理此类信息；）