Centro de conformidade e segurança da AWS

A Amazon Web Services (AWS) fornece uma plataforma de computação em nuvem altamente escalável com alta confiabilidade e disponibilidade, assim como a flexibilidade que permite aos clientes a criação de uma ampla variedade de aplicativos. Para fornecer segurança e privacidade completas, a AWS cria serviços de acordo com as melhores práticas, fornece recursos de segurança apropriados a esses serviços e documentos sobre como usar esses recursos. Além disso, os clientes da AWS podem usar esses recursos e melhores práticas para projetar um ambiente de aplicativo seguro de forma apropriada. Permitir aos clientes a garantia de confidencialidade, integridade e disponibilidade dos seus dados é o mais importante para AWS, assim como manter a confiança.

A AWS fornece uma ampla variedade de informações relacionadas ao seu ambiente de controle de TI por meio de whitepapers, relatórios, certificações e depoimentos de terceiros. Este documento ajuda os clientes a compreender os controles no local relevantes aos serviços da AWS que eles usam e como esses controles foram validados por auditores independentes. Esta informação também auxiliam os clientes em seus esforços para contabilizar e validar se os controles estão operando efetivamente em seu ambiente de TI estendido.

Esta página contém as seguintes categorias de informações. Clique para ir para baixo:

Visão geral

Em um nível mais alto, adotamos a seguinte abordagem para proteger a infraestrutura da AWS:

  • Relatórios, certificações e declarações independentes. No passado, a AWS concluiu com êxito várias auditorias SAS70 tipo II e agora publica um relatório de controles organizacionais de serviço 1 (SOC 1), tipo II, publicado sob as normas profissionais SSAE 16 e ISAE 3402, bem como um relatório de SOC 2. Além disso, a AWS obteve a certificação ISO 27001, foi validada com êxito como um provedor de serviços de nível 1 sob a Indústria de Cartões de Pagamento (PCI) e Padrão de Segurança de Dados (DSS e recebeu a autoridade FISMA-moderada para operar. No cenário de certificações do setor público, a AWS recebeu autorização da Administração de Serviços Gerais dos EUA para operar no nível FISMA moderado, e também é a plataforma para aplicativos com ATOs (Authorities to Operate, Autoridades para operar), sob o DIACAP (Defense Information Assurance Certification and Accreditation Program, Programa de acreditação e certificação de garantia de informações de defesa). Continuaremos a obter as certificações de segurança apropriadas e conduzir auditorias para demonstrar a segurança da nossa infraestrutura e serviços. Para obter mais informações sobre as atividades de risco e conformidade na nuvem da AWS, consulte o whitepaper Amazon Web Services: risco e conformidade.
  • Segurança física. A Amazon tem muitos anos de experiência no projeto, construção e operação de datacenters de grande escala. A infraestrutura da AWS está alojada nos datacenters controlados pela Amazon em todo o mundo. Apenas os que trabalham na Amazon, que têm necessidade de negócios legítima para obtenção dessas informações, sabem a localização real destes datacenters, sendo que esses datacenters estão protegidos por diversas barreiras físicas, para prevenir o acesso não autorizado.
  • Serviços protegidos. Cada serviço dentro da nuvem da AWS tem como projeto a segurança e contém vários recursos que restringem o acesso ou uso não autorizado, sem sacrificar a flexibilidade que os clientes exigem. Para obter mais informações sobre os recursos de segurança de cada serviço na nuvem da AWS, consulte o whitepaper Amazon Web Services: visão geral dos processos de segurança.
  • Privacidade de dados. A AWS permite aos usuários criptografarem seus dados pessoais ou de negócios dentro da nuvem da AWS e publicarem os procedimentos de backup e redundância, de modo que os clientes possam ter uma maior compreensão sobre como é o fluxo de dados pela AWS. Para obter mais informações sobre a privacidade de dados e procedimentos de backup para cada serviço na nuvem da AWS, consulte o whitepaper Amazon Web Services: visão geral dos processos de segurança.

O Centro de Segurança da AWS fornece links para informações técnicas, ferramentas e orientações normativas projetadas para ajudá-lo a gerenciar aplicativos seguros na nuvem da AWS. Nosso objetivo é usar este fórum para notificar de modo proativo os desenvolvedores sobre os boletins de segurança. Essa transparência é o backbone de confiança entre a AWS e os nossos clientes.

Início

Certificações e acreditações

SOC 1/SSAE 16/ISAE 3402

A Amazon Web Services publica agora um relatório de controle organizacional de serviço 1 (SOC 1) de tipo 2. A auditoria para este relatório é conduzida de acordo com a declaração sobre normas para comprovação de contratos nº 16 (SSAE 16) e as Normas internacionais para contratos de garantia nº 3402 (ISAE 3402) normas profissionais. Este relatório padrão duplo pode atender a uma ampla variedade de requisitos de auditoria dos Estados Unidos e de órgãos de auditoria internacionais. O relatório de auditoria SOC 1 atesta que os objetivos de controle da AWS estão adequadamente projetados e que os controles individuais definidos para proteger os dados do cliente funcionam com eficiência. Nosso compromisso com o relatório SOC 1 é contínuo e pretendemos dar seguimento ao nosso processo de auditorias periódicas. Esta auditoria é a substituição do relatório Declaração sobre normas de auditoria nº 70 (SAS 70) tipo II.

SOC 2

Além do relatório SOC 1, a AWS publica um relatório de controles organizacionais de serviço 2 (SOC 2), tipo 2. Semelhante ao SOC 1 na avaliação de controles, o relatório SOC 2 é um relatório de comprovação que expande a avaliação de controles para os critérios definidos pelos princípios de serviços de confiança do American Institute of Certified Public Accountants (AICPA). Esses princípios definem controles de prática líderes pertinentes à segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade aplicáveis para organizações de serviços, como a AWS. O SOC 2 da AWS é uma avaliação do design e eficácia operacional de controles que atendem aos critérios para o princípio de segurança definido nos critérios de princípios de serviços de segurança do AICPA. Esse relatório fornece transparência adicional na segurança da AWS com base em um padrão do setor predefinido de práticas líderes e demonstra ainda mais o compromisso da AWS em proteger dados de clientes.

FISMA, nível moderado

A AWS permite que clientes governamentais dos EUA atinjam e mantenham conformidade com a Lei Federal de Gestão de Segurança de Informações (FISMA) dos EUA. A FISMA exige que as agências federais desenvolvam, documentem e implementem um sistema de segurança de informações para seus dados e infraestrutura com base no Instituto Nacional de padrões e tecnologia Publicação especial 800-53, padrão de revisão 3. A certificação e autorização FISMA e acreditação requer que a AWS implemente e opere um extenso conjunto de configurações de segurança e controles. Isso inclui documentar os processos de gerenciamento, operacionais e técnicos usados para proteger a infraestrutura física e virtual, bem como a auditoria de terceiros de processos estabelecidos e controles. A AWS recebeu uma autorização FISMA moderado por três anos para a Infraestrutura como Serviço da Administração de Serviços Gerais. A AWS também obteve com êxito outras ATOs no nível FISMA moderado ao trabalhar com agências governamentais para certificar seus aplicativos e cargas de trabalho.

PCI DSS Nível 1

A AWS já obteve a conformidade PCI Nível 1. Fomos validados com êxito como provedor de serviço Nível 1 pela Indústria de Cartões de Pagamento (PCI) e Padrão de Segurança de Dados (DSS). Agora, os comerciantes e outros provedores de serviço podem executar seus aplicativos em nossa infraestrutura em conformidade com a PCI para armazenamento, processamento e transmissão de informações de cartão de crédito na nuvem. Outras corporações também podem se beneficiar ao executarem seus aplicativos em outra infraestrutura de tecnologia em conformidade com a PCI. Os serviços validados pela PCI incluem o Amazon Elastic Compute Cloud (EC2), Amazon Simple Storage Service (S3), Amazon Elastic Block Storage (EBS) and Amazon Virtual Private Cloud (VPC), Amazon Relational Database Service (RDS), Amazon Elastic Load Balancing (ELB), Amazon Identity and Access Management (IAM), além da infraestrutura física inerente e do ambiente de gestão da AWS.

Para obter mais informações, visite as Perguntas frequentes sobre PCI DSS Nível 1.

ISO 27001

CertifyPoint Seal a AWS obteve a certificação ISO 27001 do nosso sistema de gestão de segurança da informação (ISMS – Information Security Management System) que abrange a infraestrutura, datacenters e serviços, incluindo o Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Virtual Private Cloud (Amazon VPC). O ISO 27001/27002 é um padrão de segurança global amplamente adotado que estabelece os requisitos e as melhores práticas para uma abordagem sistemática para gerenciar as informações da empresa e do cliente, baseadas em avaliações de risco periódicas apropriadas e cenários de ameaça em constante mudança. Para obter a certificação, uma empresa deve demonstrar que tem uma abordagem constante e sistemática para gerenciar os riscos de segurança de informação que afetam a confidencialidade, integridade e disponibilidade da empresa e das informações do cliente. A certificação reforça o compromisso da Amazon em proporcionar a transparência nos seus controles e práticas de segurança. A certificação ISO 27001 da AWS inclui todos os datacenters da AWS, em todas as regiões do mundo e a AWS estabeleceu um programa formal para manter a certificação. Uma cópia de nosso certificado de ISO, disponível para clientes da AWS, descreve o escopo geográfico e os serviços ISMS.

Para obter mais informações, visite as nossas Perguntas frequentes sobre ISO 27001.

Conformidade com o tráfico internacional de armas

A região AWS GovCloud (US) oferece suporte ao cumprimento dos regulamentos do tráfego internacional de armas (ITAR). Como parte do gerenciamento de um abrangente programa de conformidade ITAR, empresas sujeitas a regulamentações de exportação ITAR devem controlar as exportações não intencionais por restringir o acesso a dados protegidos de pessoas nos EUA e restringir a localização física dos dados ao território dos EUA. O AWS GovCloud (US) fornece um ambiente fisicamente localizado nos EUA no qual o acesso de colaboradores AWS é limitado aos cidadãos dos EUA, permitindo que empresas qualificadas transmitam, processem e armazenem artigos e dados protegidos sob ITAR. O ambiente AWS GovCloud (US) foi auditado por um terceiro independente para validar que os próprios controles estejam em vigor para apoiar programas de conformidade de exportação do cliente para este requisito.

FIPS 140-2

A publicação do Federal Information Processing Standard (FIPS) 140-2 é um padrão de segurança do governo dos EUA que especifica os requisitos de segurança para módulos criptográficos protegendo informações confidenciais. Para oferecer suporte a clientes com requisitos FIPS 140-2, os endpoints da VPN da Amazon Virtual Private Cloud e terminações SSL no AWS GovCloud (US) operam usando o hardware validado pela FIPS 140-2. A AWS trabalha com clientes do AWS GovCloud (US) para fornecer as informações necessárias para ajudar a gerenciar a conformidade ao usar o ambiente AWS GovCloud (EUA).

Outras iniciativas de conformidade

A flexibilidade e o controle do cliente oferecido pela plataforma da AWS permitem a implantação de soluções que atendam aos requisitos de conformidade específicos do setor.

  • HIPAA: Os clientes criaram aplicativos na área de saúde em conformidade com as Regras de privacidade e segurança do HIPPA na AWS. A AWS fornece os controles de segurança que os clientes podem usar para ajudar a proteger registros eletrônicos de saúde. Consulte o artigo relacionado (link a seguir).
  • CSA: A AWS concluiu o Questionário de Iniciativa de Avaliações da CSA (Cloud Security Alliance, Aliança de Segurança na Nuvem). Esse questionário publicado pela CSA fornece uma forma de consultar e documentar quais controles existem nas ofertas de Infraestrutura como Serviço da AWS. O questionário (CAIQ) fornece um conjunto de mais de 140 perguntas que um auditor de nuvem e cliente de nuvem podem querer fazer a um provedor de nuvem. Os clientes podem encontrar o questionário completo no Apêndice A do whitepaper sobre risco e conformidade da AWS
  • MPAA: A Motion Picture Association of America (MPAA) estabeleceu um conjunto de práticas recomendadas para armazenar, processar e fornecer com segurança conteúdo e mídia protegida. As empresas de mídia usam essas práticas recomendadas como uma forma de avaliar o risco e auditar seu conteúdo e infraestrutura. A AWS contratou uma avaliação independente de conformidade da AWS com as práticas recomendadas da MPAA e atingiu a maior classificação de maturidade possível, indicando que a infraestrutura da AWS está em conformidade com todos os controles de infraestrutura da MPAA aplicáveis, em todos os serviços da AWS em revisão. Embora a MPAA não ofereça uma "certificação", as empresas de mídia podem usar esse relatório para concluir sua própria avaliação de risco e auditoria do conteúdo de tipo MPAA na AWS.

Início

Informações básicas

O fornecimento de uma plataforma de computação em nuvem segura envolve a implementação de várias melhores práticas para a infraestrutura no local, assim como um abrigo de considerações adicionais exclusivas a um ambiente de infraestrutura hospedado. O whitepaper Amazon Web Services: visão geral dos Processos de Segurança fornecerá as informações básicas e uma visão geral da filosofia da AWS em relação à oferta de uma plataforma de computação em nuvem segura.

Início

Segurança Recursos

A AWS fornece vários modos para você se identificar e acessar com segurança a sua conta da AWS, os serviços da AWS que você registrou e os recursos hospedados por eles. Você pode encontrar uma lista completa de credenciais compatíveis na página Credenciais de segurança sob Sua conta. Também fornecemos opções de segurança adicionais que permitem a você proteger ainda mais a sua conta da AWS e controlar o acesso: Identity and Access Management (IAM), Multi-Factor Authentication (MFA) e Rotação de chave.

AWS Identity and Access Management (IAM)

O AWS Identity and Access Management (IAM) permite que você crie múltiplos usuários e gerencie permissões para cada um desses usuários com a sua conta da AWS. Um Usuário é uma identidade (dentro de uma conta da AWS do cliente) com credenciais de segurança exclusivas que podem ser usadas para acessar os recursos da AWS. O IAM elimina a necessidade de compartilhar senhas ou chaves de acesso e facilita a ativação e a desativação de um acesso do Usuário, conforme apropriado.

O IAM permite que você implemente as melhores práticas de segurança, como menos privilégio, ao atribuir credenciais exclusivas para cada usuário dentro da sua conta da AWS e conceder somente as permissões que os usuários precisam a fim de acessar os recursos da AWS necessários para a realização do trabalho. Como padrão, o IAM é seguro; os novos usuários não têm de acessar os recursos do AWS até que permissões sejam explicitamente concedidas.

O IAM permite que você minimize o uso das suas credenciais de conta da AWS. No lugar, todas as interações com os recursos da AWS devem ocorrer no contexto das credenciais de segurança do Usuário do IAM. Para saber mais sobre o Identity and Access Management (IAM) da AWS visite a nossa página do IAM.

AWS Multi-Factor Authentication (AWS MFA)

A AWS Multi-Factor Authentication (AWS MFA) é uma camada adicional de segurança que oferece um melhor controle das suas configurações de conta da AWS e a gestão dos recursos registrados da AWS para a sua conta. Ao habilitar esse recurso de opção de identificação, você necessitará fornecer um código de uso único e seis dígitos, além das suas credenciais de nome de usuário padrão e de senha antes do acesso ser concedido. Você obtém este código de uso único de um dispositivo de autenticação ou de um aplicativo especial em um celular, que você mantém em sua posse física. É chamada Multi-Factor Authentication porque dois fatores são verificados antes de acessar a sua conta: você necessita fornecer a sua identificação de e-mail da AWS e a senha (o primeiro “fator”: algo que você sabe) e o código específico do seu dispositivo de autenticação (o segundo “fator”: algo que você tem). A Multi-Factor Authentication pode ser habilitada na sua Conta da AWS assim como para os Usuários que você criou na sua conta da AWS usando o IAM.

É fácil obter um dispositivo de autenticação de um provedor terceirizado participante, ou baixar e instalar o software apropriado em seu celular e, em seguida, configurá-lo para uso através do site da AWS. Mais informações sobre a Multi-Factor Authentication estão disponíveis aqui.

Rotação de chave

Pelos mesmos motivos que você deve alterar a sua senha frequentemente, a AWS recomenda que você faça regularmente a rotação das suas chaves de acesso e certificados. Para permitir que você faça isso sem um possível impacto na disponibilidade dos seus aplicativos, a AWS é compatível com várias chaves de acesso e certificados simultâneos. Com esse recurso, você pode fazer rotação das chaves e certificados dentro e fora de operação de modo regular, sem qualquer tempo de inatividade para o seu aplicativo. Ele pode ajudar a diminuir os riscos de perda ou comprometimento de certificados ou chaves de acesso. As APIs do IAM permitem que você faça rotação das chaves de acesso da sua Conta da AWS, bem como para usuários criados sob a sua Conta da AWS.

Para saber mais sobre este recurso ou começar a utilizar a rotação de chave, clique aqui.

Início

Chave PGP pública da AWS

A Equipe de segurança da AWS incentiva a comunicação com o cliente. Estabelecemos processos para relatos de vulnerabilidades na segurança e para solicitação de teste de penetração. Também criamos uma chave PGP assinada para comunicações confidenciais que deseje enviar.

Início





Depoimento
“Uma melhor segurança do computador tem como base, entre outros fatores, uma maior proteção contra ataques de rede e detecção em tempo real de adulterações no sistema.”

– Responsabilidade final de recuperação e Painel de transparência nos benefícios de segurança esperados na transferência de Recovery.gov para a nuvem da AWS.



©2011, Amazon Web Services LLC ou suas afiliadas. Todos os direitos reservados.