AWS Security Blog
AWS publishes PiTuKri ISAE3000 Type II Attestation Report for Finnish customers
Feb. 14, 2022: We’ve added Finnish version of the post.
Gaining and maintaining customer trust is an ongoing commitment at Amazon Web Services (AWS). Our customers’ industry security requirements drive the scope and portfolio of compliance reports, attestations, and certifications we pursue. AWS is pleased to announce the issuance of the Criteria to Assess the Information Security of Cloud Services (PiTuKri) ISAE 3000 Type 2 attestation report. The scope of this report includes 141 AWS services and associated AWS global infrastructure, such as Regions and Edge Locations supporting these services.
Criteria for Assessing the Information Security of Cloud Services (PiTuKri) is a guidance document published by the Finnish Transport and Communications Agency (Traficom) Cyber Security Centre for assessing the security of cloud computing services, such as AWS. The PiTuKri criteria covers a total of 11 subdivisions such as security management, personnel security and physical security which cloud service providers are expected to implement. AWS has engaged with an independent third-party audit firm to examine whether the AWS control environment is appropriately designed and implemented to align with PiTuKri requirements. Additionally, the report provides customers with important guidance on complementary user entity controls (CUECs), which customers should consider implementing as part of the shared responsibility model to help them comply with PiTuKri requirements. The report covers the period from October 1, 2020 to September 30, 2021. A full list of certified services and Regions is presented within the published PiTuKri ISAE3000 report.
The alignment of AWS with PiTuKri requirements demonstrates our continuous commitment to meeting the heightened expectations for cloud service providers set by Traficom. Customers can use the AWS’ PiTuKri ISAE 3000 report as a tool to conduct their due diligence on AWS, which may minimize the effort and costs required for compliance. The report is now available free of charge to AWS customers from AWS Artifact. More information on how to download the report is available here.
As always, AWS is committed to bringing new services into the scope of our PiTuKri program in the future, based on customers’ architectural and regulatory needs. Please reach out to your AWS account team if you have questions about the PiTuKri report. You can also download this blog post translated into Finnish.
AWS julkaisee PiTuKri ISAE3000 Type II ‑todistusraportin suomalaisille asiakkaille.
Amazon Web Services (AWS) sitoutuu jatkuvasti asiakkaiden luottamuksen ansaitsemiseen ja säilyttämiseen. Asiakkaidemme toimialakohtaiset turvallisuusvaatimukset määrittävät sen, millaisia vaatimustenmukaisuusraportteja, todistuksia ja sertifikaatteja me tuotamme ja missä laajuudessa. AWS on iloinen voidessaan ilmoittaa Pilvipalveluiden turvallisuuden
arviointikriteeristö (PiTuKri) ISAE 3000 Type II -todistusraportin myöntämisestä. Tämän raportin soveltamisalaan sisältyy yhteensä 141 AWS-palvelua ja niihin liittyvää AWS:n maailmanlaajuista infrastruktuuria, kuten regioonia ja reunasijainteja, jotka tukevat näitä palveluja.
Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri) on Suomen liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskuksen julkaisema ohjeistus pilvipalveluiden, kuten AWS:n, tietoturvan arviointiin. PiTuKri-kriteerit kattavat yhteensä 11 eri osa-aluetta, kuten tietoturvan hallinnan, henkilöstön turvallisuuden ja fyysisen turvallisuuden, jotka pilvipalvelujen tarjoajien odotetaan toteuttavan ratkaisuissaan. AWS on tehnyt yhteistyötä riippumattoman kolmannen osapuolen auditointiyhtiön kanssa varmistaakseen sen, että AWS-valvontaympäristö on suunniteltu ja toteutettu asianmukaisesti PiTuKri-vaatimusten mukaisesti. Lisäksi raportissa annetaan asiakkaille tärkeitä ohjeita täydentävistä käyttäjäyksiköiden (CUEC) tarkastuksista, joiden toteuttamista asiakkaiden tulisi harkita osana jaetun vastuun mallia. Tämä auttaa asiakkaita PiTuKri-vaatimusten noudattamisessa. Raportti kattaa ajanjakson 1.10.2020–30.9.2021. PiTuKri ISAE3000 ‑raportissa on kattava luettelo sertifioiduista palveluista ja regioonista.
AWS noudattaa PiTuKri-vaatimuksia, mikä osoittaa jatkuvan sitoutumisemme Traficomin pilvipalvelujen tarjoajille asettamiin korkeisiin vaatimuksiin. Asiakkaat voivat käyttää AWS:n PiTuKri ISAE 3000 ‑raporttia välineenä AWS:n huolellisuusvelvollisuuden mukaiseen arviointiin. Tämä puolestaan voi pienentää vaatimustenmukaisuuden edellyttämien toimia ja kustannuksia. Raportti on nyt maksutta AWS‑asiakkaiden saatavilla AWS Artifactissa. Lisätietoja raportin lataamisesta on täällä.
AWS on sitoutunut tuomaan uusia palveluita PiTuKri-ohjelmamme piiriin myös tästä eteenpäin asiakkaiden järjestelmäarkkitehtuuriin ja sääntelyyn liittyvien tarpeiden pohjalta. Ota yhteyttä omaan AWS-tilitiimiisi, jos sinulla on kysyttävää PiTuKri-raportista. Voit myös ladata tämän blogikirjoituksen.
If you have feedback about this post, submit comments in the Comments section below.
Want more AWS Security news? Follow us on Twitter.