一般性问题
填写调查问卷以记录 AWS 安全性和合规性状况时,如果需要协助,AWS 已拟定建议方法,可为您提供所需的资源,帮助您解决在云和 AWS 业务模型中遇到的安全性和合规性问题。填写安全性和合规性调查问卷的最常使用资源如下:
- AWS Artifact – AWS Artifact 是对您很重要的与合规性相关的信息的首选中央资源。它允许按需访问 AWS 安全性与合规性报告以及选择在线版协议。AWS Artifact 提供的报告包括我们的服务组织控制 (SOC) 报告、支付卡行业 (PCI) 合规性证明,以及验证 AWS 安全控制的实施和运行效果的不同地域和合规行业的资格鉴定机构签发的认证。AWS Artifact 提供的协议包括商业伙伴协议增订条约(BAA)和保密协议(NDA)。
- AWS 合规性计划网页 — AWS 合规性计划可帮助客户了解 AWS 上用以维护云中的安全性和合规性的强大控制措施。
- AWS 数据中心控制网页 – 许多调查问卷都有一个部分来介绍与数据中心物理安全相关的问题。该网页可以为您提供部分物理和环境控制体系的见解。
- AWS 风险与合规性白皮书 – 本文档围绕云计算合规性问题,提供了一些 AWS 特定信息。
- CSA 共识评测倡议调查问卷 – CSA 共识评测倡议调查问卷包含一系列问题,据 CSA 预计云客户和/或审计师会可能向云提供商提出。该调查问卷提出了一系列安全、控制和流程问题,用途广泛,包括对云提供商的选择和安全评估。本文档包含由 AWS 针对 CSA 调查问卷提供的答案。
- AWS CyberGRX 评测 — 客户可以利用 AWS CyberGRX 报告,通过替换过时的静态电子表格来减轻供应商尽职调查的负担,并且无需每年重复请求访问 AWS 评测。客户还可以使用 CyberGRX 的 Framework Mapper 功能,通过该功能将 AWS 评测映射到常用的行业框架和标准,从而立即了解控制覆盖范围。
- AWS CyberVadis 评测 – 客户可以利用 AWS CyberVadis 风险评测报告和记分卡进行供应商尽职调查。CyberVadis 评测将 AWS 的响应与分析和复杂的风险模型相结合,以提供高级功能,从而深入了解 AWS 的安全状况。客户可以使用 CyberVadis 的结果将 AWS 评测与常用的行业框架和标准对应起来,从而立即了解控制覆盖范围。
- SIG 问卷调查 - 标准化信息收集(SIG)问卷调查的目的在于,让客户使用共同评测的 SIG 问卷调查工具对其第三方风险评测的流程进行标准化。AWS 已采用叙述回答完成调查问卷,协助 AWS 客户开展对 AWS Cloud 的尽职调查流程。SIG 位于 AWS Artifact。
AWS 范围内服务网页提供了一个经评测符合常用合规性标准的服务列表。
AWS 可以聘请 AWS 分包商网页上列出的实体来代表客户执行特定处理活动或数据中心设施管理活动。该网页还为客户提供了订阅分包商列表是否发生更改的电子邮件通知选项。
您可以在 AWS 数据隐私中心了解数据隐私。此网页提供有关 AWS 隐私、隐私法律法规、常见问题解答和资源的信息。
AWS 对我们的数据中心位置严格保密,以维持客户数据的安全性和隐私。我们的 AWS 区域的命名约定表示组成该区域的可用区和数据中心的一般地理位置。通过 AWS Artifact 提供的 PCI-DSS 报告中包含有关数据中心一般位置的更多详细信息。 要进一步了解,请访问我们的 AWS 全球基础设施网页。
客户可以考虑 AWS 为其数据数据中心设定的所有安全性控制措施,以评测 AWS 物理基础设施的安全性和弹性。为帮助客户更深入地了解我们的物理安全和弹性控制措施,一名独立而且胜任的审计师会验证控制措施的分布和操作,并将其作为我们的 SOC 报告的一部分,通过 AWS Artifact 向客户提供。此项被广泛接受的第三方验证为客户提供关于现有控制措施有效性的独立认证。数据中心物理安全的独立审查还是 ISO 27001、PCI、ITAR 和 FedRAMP 合规性计划的一部分。
在评测 AWS 并将其作为灾难恢复计划一部分时,客户应首先确定其弹性目标,并考虑针对弹性和灾难恢复的所有适用法规要求。随后,客户可以根据其弹性目标和法规要求构建其 AWS 环境。例如,若要减轻环境风险,客户可以构建其 AWS 工作负载,通过充分利用物理分隔的可用区和区域,以达到其目标。在为业务持续性和灾难恢复制定计划时,AWS 客户应利用 AWS Well Architected Framework 的可靠性支柱中所包含的最佳实践。有关灾难恢复建议的更多信息,请参阅 AWS 工作负载灾难恢复:云端恢复。
合规性报告
AWS Artifact 提供由第三方审计师出具的合规性报告,他们测试并验证了我们对多种全球性、区域性和行业特定安全标准和法规的合规性。一旦发布新报告,客户便可通过 AWS Artifact 下载。有关更多信息,请转至合规性报告常见问题。也可以从 AWS 管理控制台直接访问 AWS Artifact。
根据我们每年多次发布的 12 个月 SOC 报告所提供的 AWS 持续覆盖范围,我们会发布 SOC 持续运营信函,而不是过渡函或间隙函。可以使用 AWS Artifact 从 AWS 管理控制台下载这些定期发布的信函。
否。SOC 审计是在一段时间内执行的。审计期结束后,将会准备报告,并在大约 6 周内提供给客户。从 2023 年 9 月 30 日起,AWS 每年将多次发布涵盖 12 个月的 SOC 报告。SOC 1 报告每季度发布一次,SOC 2 和 SOC 3 报告每六个月发布一次。一旦发布新 SOC 报告,客户便可通过 AWS Artifact 下载。
AWS 很乐意为您的客户提供我们的 SOC 1 或 SOC 2 报告的副本。为了更好地支持您的客户,我们建议他们利用 AWS Artifact 入门指南并通过其自己的 AWS 账户下载 SOC 1 或 SOC 2 报告。创建账户不会产生任何相关费用。登录账户后,客户可以通过导航到“安全性、身份与合规性”下的“Artifact ”来访问 AWS 管理控制台中的可用报告。
或者,如果适用于特定 AWS 合规性报告的条款和条件允许,您还可以从 AWS Artifact 下载 AWS 合规性报告并直接与您的客户分享。请参考从 AWS Artifact 下载的 AWS 合规性报告首页的适用条款和条件,以确认是否允许分享该报告。
我们还在我们的SOC 合规性网页上发布了 AWS SOC 3 报告。SOC 3 报告是 AWS SOC 2 报告的摘要。它提供了保证(包括外部审计师的意见),即 AWS 会根据 AICPA 信托服务原则中规定的标准保持有效的控制运维。
合规性计划
没有面向 AWS 等云服务提供商(CSP)的 HIPAA 认证。但是,AWS 会根据美国卫生与公共服务部隐私(45 CFR 第 160 部分和第 164 部分的 A 和 E 小节)和安全(45 CFR 第 160 部分和第 164 部分的 A 和 C 小节)、HIPAA 管理简化条例(45 CFR 160、162 和 164)、FedRAMP、NIST 800-30 和 NIST 800-53 对其 HIPAA 风险管理计划进行调整。NIST 支持这种调整,并发布了 SP 800-66 Rev. 1,这是一个“实施 HIPAA 安全规则的介绍性资源指南”的文档,说明了如何将 NIST 800-53 与 HIPAA 安全规则对应。有关 AWS HIPAA 合规性的更多信息,请参阅 AWS HIPAA 网页。
是的。AWS 拥有与客户签订的标准 BAA。该增订合约涵盖 AWS 提供的特色服务,并采用 AWS 责任共担模型。
要审核、接受和管理您的账户或 AWS Organizations 中属于组织的所有账户的 BAA 状态,请从 AWS 管理控制台登录到 AWS Artifact。
AWS 采用基于标准的风险管理计划来确保符合 HIPAA 要求的服务明确支持 HIPAA 法案要求的安全、控制和管理程序。客户可以通过被指定为 HIPAA 账户的账户使用任何 AWS 服务,但他们只能使用符合 HIPAA 要求的服务来处理、存储和传输受保护的健康信息 (PHI)。有关 AWS HIPAA 合规性的更多信息,请参阅以下 AWS 资源:
客户可以利用范围内服务的 AWS HITRUST CSF 认证来支持他们自己的 HITRUST CSF 认证。有关 HITRUST CSF 认证的 AWS 服务的最新列表,请参阅“AWS 范围内服务”网页。AWS 客户可以继承 AWS HITRUST CSF 认证,前提是客户仅使用范围内服务并应用 HITRUST Alliance 网站中详细说明的控制措施。客户可以下载 AWS 自定义 HITRUST 共担责任矩阵来确定 AWS 客户可以作为责任共担模型的一部分集成的 HITRUST 要求。客户应参阅 MyCSF 用户指南网页了解有关如何发起继承请求的指导。
您无需采取任何措施即可从 GDPR DPA 中受益。GDPR DPA 的条款已合并到 AWS 服务条款中,自 2018 年 5 月 25 日起,GDPR DPA 自动适用于其活动处于 GDPR 范围内的客户。请参阅此 AWS 安全性博客文章以了解有关 AWS 的 DPA 的更多信息。有关更多信息,请访问 GDPR 中心。
AWS 合规性计划可帮助客户了解 AWS 上用以维护云端安全性和合规性的强大控制措施。您可以在“AWS 合规性计划”网页上找到 AWS 遵守的特定区域(全球、美洲、亚太地区、欧洲、中东和非洲)计划。
